Softpedia
 
HomepageWindowsDriversNoticias


CATEGORÍAS DE NOTICIAS:



PÁGINAS GLOBALES >>
ARCHIVO DE NOTICIAS >>
CONOCE A LOS EDITORES >>
Inicio > Noticias > Seguridad > Mejoras y correcciones en la seguridad

August 9th, 2011, 08:21 GMT · Por · Traducido por Diana Cirlan

Revisión disponible para el código vulnerable de tema de WordPress

COMPARTE:

Ajustar tamaño del texto:


Fue abordada la vulnerabilidad crítica de Timthumb
Enlarge picture
Un código de manipulación de imagen utilizado en muchos temas populares de WordPress se ha actualizado para abordar una vulnerabilidad de seguridad crítica.

El defecto fue informado la semana pasada por el director ejecutivo de Feedjit, Mark Maunder, después de que su blog personal fue hackeado y actualmente está siendo explotado en la naturaleza.

El código afectado se llama Timthumb y se utiliza principalmente para las operaciones de cambio de tamaño de imagen. Consiste de un único archivo PHP y puede obtener imágenes de servidores remotos.

La validación débil de los nombres de dominio de terceros en la lista blanca permitió a los atacantes insertar scripts de shell PHP en el directorio de caché y ejecutarlos.

Desde que descubrió el defecto, Maunder ha estado trabajando estrechamente con el fundador de WordPress, Matt Mullenweg, y el desarrollador principal de Timthumb, Ben Gillbanks, para abordar la cuestión.

Estos esfuerzos resultaron en la aparición de TimThumb 2.0, una nueva versión de la secuencia de comandos que incorpora varias mejoras y salvaguardias.

"El directorio de caché ahora es seguro y es todavía público para flexibilidad a través de plataformas. TimThumb crea archivos de índice en la memoria caché para evitar los listados de directorios.

"Los nombres de archivo son más aleatorios utilizando los datos a los cuales un hacker no tiene acceso, lo que hace que sea muy difícil adivinar los nombres de archivos de la memoria caché y acceder a ellos", explica Maunder.

Además, todos los archivos del caché ahora tienen la extensión .txt y, para mayor protección, también tienen una pieza de código PHP al principio que cierra el proceso si se ejecutan.

También se han mejorado las capacidades de manipulación de imagen. El código ahora puede tomar imágenes del sitio web y se pueden aplicar todos los filtros.

"Voy a trabajar con Ben a continuación para seguir tener un TimThumb que sea el más fácil de usar, más rápido, más popular y la miniatura de script más segura de la web", anuncia Maunder.

Los webmasters que utilizan ese código en sus temas deben descargar la última versión timthumb.php del repositorio del proyecto y reemplazar a aquella que está actualmente en sus equipos.

DÉJANOS TU OPINIÓN:

Leído por 404 usuarios · Enlace de este artículo · Imprimir artículo · Enviar a un amigo

MÁS ARTÍCULOS RELACIONADOS:


WordPress obtiene nueva actualización de seguridad
WordPress reinicia las contraseñas de los usuarios tras detectar unos plugins corruptos
Vulnerabilidad de día cero de Movable Type utilizada para hackear PBS – Parches
WordPress 3.1.3 contiene revisiones de seguridad y protección anti cickjacking
Los datos de ubicación recogidos de IPhone están enviados a Apple

COMENTARIOS:



No hay ningún comentario aún.
¡Sé el primero en expresar tu opinión!
Copyright © 2001-2013 Softpedia. Contáctanos por correo:

WindowsDriversNoticias

ENVIAR TU SOFTWARE   |   PUBLICIDAD   |   OBTENER AYUDA   |   ENVÍANOS COMENTARIOS   |   FUENTES RSS   |   ACTUALIZAR SOFTWARE
© 2001 - 2013 Softpedia. Todos los derechos reservados. Softpedia® y el logotipo de Softpedia® son marcas registradas de SoftNews NET SRL. Información de copyright | Política de privacidad | Términos de uso