Faille de sécurité : Plugin TimThumb pour WordPress

05.08.2011 | Réseau Dumac
1599 visiteurs  -  Aucun commentaire

Blogueurs utilisateurs de WordPress et webmasters de blogs WP, cette annonce est pour vous !

Si votre site utilise le plugin TimThumb, une faille critique ("Zero Day") permet à des personnes mal intentionnées d’utiliser un cache (dossier de dépôt d’images retaillées en vignettes, d’où le nom de TimThumb > Thumbnails) de ce module afin d’y stocker du code dangereux. La faille provient d’une absence de gestion de droits d’écriture (CHMOD) sur ce dossier.

La faille a été corrigée et le téléchargement gratuit du générateur de vignettes (rebaptisé WordThumb, utilisable d’ailleurs indépendamment de WordPress) peut se faire à l’adresse suivante :

http://code.google.com/p/wordthumb/downloads/list

Pour ceux qui ont peur qu’un paramétrage "sur-mesure" de leur configuration actuelle de WP ne soit affecté par la correction de cette vulnérabilité (dans le cas où le nouveau script modifie d’autres fonctions), c’est la ligne 27 du script timthumb.php qu’il convient de modifier :

ligne 27 avant correction :

$allowedSites = array ( ’flickr.com’, ’picasa.com’, ’blogger.com’, ’wordpress.com’, ’img.youtube.com’, ’upload.wikimedia.org’, ) ;

ligne 27 après correction :

$allowedSites = array () ;

Bonne mise à jour aux quelques 61 millions de sites utilisant le script potentiellement vulnérable ;-)

Dans la même rubrique

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 9 visiteurs par jour (105812 au total)

Haut de page | XHTML 1.0 | CSS 2