WordPressのテーマでゼロデイだって?!

 なんか,TwitterでScottが「WordPressのテーマでゼロデイだって」とつぶやいていた。時差はあるとはいえ,日付は2日になっているのに,Twitterをほとんど見ないので,今気づいたという体たらくなんだけど,チェックしてみたら自鯖のWordPressについては,問題なかった。

 XREAのほうの「ネットワークの作成」で使っているテーマを調べたら,「delicate」がthumb.phpという名で問題のtimthumb.phpを使っていたので,脆弱性を回避するための方法として書かれていたように,
    $allowedSites = array (
     ‘flickr.com’,
     ‘picasa.com’,
     ‘blogger.com’,
     ‘wordpress.com’,
     ‘img.youtube.com’,
    );
のところを$allowedSites = array ();に直した。/delicate/cacheにも,/tmpにも,幸いにして怪しいファイルはなかった。もし,ハックされてるかどうかは,WordPressのインストールディレクトリで,base64_decodeのあるファイルを確認する。base64_decode関数の括弧内にエンコード・ストリングの長いのが見つかったら,多分ハックされてるって。

追記:
 「セキュリティホール memo」さんでも報告があっていた。

追記2:
 A secure rewrite of timthumb.php as WordThumb (魚拓です) を読んでて気になったので,縦書き集のcURL関数に, curl_setopt ($curl, CURLOPT_TIMEOUT_MS,5000); を追加。PHP5.2.3未満,cURL7.16.2未満だと,CURLOPT_TIMEOUTじゃないと使えないだろう。value の適切な設定値が分からないので一応5秒に設定。

追記3(8/6):
 今回の脆弱性の修正が施されたTimThumb 2.0がリリースされた。
http://timthumb.googlecode.com/svn/trunk/timthumb.php ☜ Google Code のサービスの終了とともにリンク先も消えたので,今掲載しているのは,魚拓である。新しい TimThumb のリポジトリは GitHub にあるようだが……。(2016.5.13 追記)
で配布されている。私は,まだ未検証。帰宅後,試すつもりです。

追記4(8/6):
 帰宅後,試すつもりと書いたのだが,帰ってきてXREAのWordPress3.2にアクセスしたら,早くも,Delicateのバージョン: 3.4.4の通知が来ていた。早速アップデート。したのち,確認したら,thumb.php,custom-thumb.php,cacheがきれいさっぱりなくなっている。えーっ,それはないよ。timthumb.php ver.2.0が試せないじゃん。テストサイトだから,そんなとこまでローカル・バックアップ取っていないし。アップデート前に試してみるべきだった。アチャーッ。

「WordPressのテーマでゼロデイだって?!」への2件のフィードバック

  1. o6asanさん

    こんばんわ<!>

    イヤ、Xデイに非ずのゼロディですか<!>
    こちらには関係してなくて良かったですが。

    思うにそんな知識があるなら、良い方に使えばと。
    私のパソコンなら、中身覗かれて、困るのデーターは無い筈ですが。

    元々がパソコンにはパスワード無し。
    大体が一々、邪魔くさいです。
    オッとの、別途のパスワード等々は保管してるですが。
    これはツールで、パスワード付きでして。

    諸般、ホーム・ページを改竄されても困るです。

    で、ウォッシュレットは一応の解決に向かってるみたいで、良かったですねえ。
    私はボーカン者ですが。

    1. シバケンさん,おはようございます。

      > ゼロディですか<!>
      > こちらには関係してなくて良かったですが。

      シバケンさんのところには,今回の脆弱性は関係ないでしょうね。
      ただ,timthumb.phpというPHPスクリプトが使われているのはWordPressばかりではないようで,元ページでのコメントにもその件に触れたものが見られました。

      また,今朝,修正版が出されたようです。
      http://timthumb.googlecode.com/svn/trunk/timthumb.php ☜ Google Code のサービスの終了とともにリンク先も消えたので,今のリンク先は魚拓である。新しい TimThumb のリポジトリは GitHub にあるようだが……。(2016.5.13 追記)

      >思うにそんな知識があるなら、良い方に使えばと。

      原作者と協力して修正版を作った方のように,よいほうに使う方も,アタックをかけた人のように,悪いほうに使う人もいますね。

      > で、ウォッシュレットは一応の解決に向かってるみたいで、良かったですねえ。

      なかなか手ごわくて,難航しています。正直なところ,お盆が困るのですが……
      こんなに手間取るとは思いませんでした。(泣)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください