¿Es Timthumb sigue rota? ¿Deben tomarse medidas de seguridad?

Un cliente ha solicitado que utilizamos un tema y ese tema tiene una dependencia Timthumb. Sé que ha habido algunas vulnerabilidades graves en el pasado, pero ¿cuál es el estado actual de ese plugin? ¿Alguien me puede señalar a un recurso autoritativo que aborda esta vulnerabilidad? ¿No parece que el plugin sigue siendo mantenido / disponible en el repositorio? Gracias.


Solución 1

Echa un vistazo aquí: http://ma.tt/2011/08/the-timthumb-saga/ Supongo que sabe quién es Matt. Además, Matt mencionado a este tipo en ese enlace, y tiene algunas actualizaciones sobre el tema publicado en su sitio http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/ El corto es que ahora hay TimThumb 2.0 que es fijo. Está disponible aquí http://code.google.com/p/timthumb/ http://code.google.com/p/timthumb/ .

Solución 2

Aún considero timthumb.php para representar un riesgo inherente debido a la forma en que opera. Que yo sepa, the following statement remains true:

Nota: timthumb.php es inherentemente insegura porque se basa en ser capaz de escribir archivos en un directorio accesible por personas que visitan su sitio de Internet. Nunca es una buena idea.

Sin mirar directamente a través de la fuente, no veo nada en this list of TimThumb 2.0 enhancements Eso cambia las funciones fundamentales de la escritura. Las mejoras de proporcionan una seguridad adicional a través de la oscuridad, pero en realidad, la oscuridad no es seguridad.

Hasta que veo evidencia objetiva de lo contrario, me quedo con mi amonestación al utilizar el redimensionamiento de imágenes del núcleo y después en miniatura funcionalidad sólo y siempre..




Problemas relacionados

Formulario de contacto de seguridad

¿Qué versiones de WordPress la nave con el TimThumb parcheado?

wp_insert_comment y seguridad

Controles de seguridad regular ¿qué pasos deben ser incluidos?

¿Cuál es la diferencia entre el thumbnail timthumb y post?

Cambiar la estructura del directorio Wordpress real (o visible)

Los pulgares y fotos no muestran ya

Seguridad de funciones WordPress admin personalizado

Retire mi tema personalizado timthumb.php

Podemos decir WordPress seguridad publica no tiene las actualizaciones de base de datos

Con soporte nativo para wp imagen en lugar de timthumb

Malware en header.php

Source: Stack Exchange Inc; License: cc by-sa 3.0 Contacto / Contact