數十萬WordPress用戶目前似乎正遭受圖像處理腳本Timthumb的威脅,這是一個相當受歡 迎的第三方腳本,它可以實現動態圖像裁剪、縮放和調整,腳本的文件名是timthumb.php,該文檔定義了數個可以遠程提取的相冊,但腳本並沒有很好 地驗證這些域名,因此類似「http://flickr.com.maliciousdomain.com」這樣的欺騙性二三級域名也會被通過,所以黑客 理論上可以用任何域名後綴輕鬆仿冒,並通過緩存目錄上傳各種惡意程序。
目前在Google搜索這一腳本的文件名,一共返回了39萬個結果,這意味著這些博客全部遭受安全漏洞的影響,所以如果您運行著WordPress和Timthumb,請盡快做出行動修補或者暫停運行。
感謝蛋話論壇的投遞
沒有留言:
發佈留言