Μια από τις ειδήσεις που αναστάτωσε πρόσφατα τους ιδιοκτήτες ιστοσελίδων σε ολόκληρο τον κόσμο αφορούσε το κενό ασφαλείας που παρατηρήθηκε στις αρχές Αυγούστου στο timthumb, ένα δημοφιλέστατο plugin που χρησιμοποιείται για την αυτόματη αλλαγή μεγέθους σε φωτογραφίες. Το timthumb χρησιμοποιείται ευρέως κυρίως στο WordPress αλλά και σε άλλες πλατφόρμες και ο αντίκτυπος της ευπάθειάς του ήταν τεράστιος, αφού μόλυνε συνολικά πάνω από 1 εκατομμύριο ιστοχώρους, 200.000 εκ των οποίων, μάλιστα, εξακολουθούσαν να είναι προσβεβλημένοι κατά τις τελευταίες 30 ημέρες.
Ο υπολογισμός του αριθμού έγινε από την εταιρεία ασφαλείας Sucuri, η οποία πραγματοποίησε αναζητήσεις στο Google με το μήνυμα λάθους που εμφανίζουν οι ιστοχώροι στους οποίους έχουν προκληθεί δυσλειτουργίες εξαιτίας του συγκεκριμένου κενού. Και ενώ οι αναζητήσεις έφεραν πάνω από 1 εκατομμύριο αποτελέσματα συνολικά, το πιο ανησυχητικό ήταν ότι φιλτράροντάς τα ώστε να εμφανίσει μόνο αυτά των τελευταίων 30 ημερών, ο αριθμός τους ξεπερνούσε τις 200.000.
Επειδή, μάλιστα, δεν έχουν όλοι οι servers ενεργοποιημένο τον μηχανισμό προβολής λαθών στην PHP αλλά και καθώς θα μπορούσαν να έχουν πραγματοποιηθεί διαφορετικού τύπου παραβιάσεις εξαιτίας του ίδιου κενού, ο πραγματικός αριθμός των μολυσμένων ιστοχώρων εκτιμάται πως είναι πολύ μεγαλύτερος, με τους ανθρώπους της Sucuri να κάνουν λόγο ακόμη και για 2 εκατομμύρια.
Αξίζει να σημειωθεί πως το κενό υπάρχει ακόμη κι αν η ευάλωτη έκδοση του timthumb απλά «κάθεται» στον server χωρίς να χρησιμοποιείται από κανέναν ιστοχώρο και χωρίς το plugin να είναι καν ενεργοποιημένο. Επειδή, μάλιστα, μέχρι πρόσφατα δεν υπήρχε εναλλακτική για την δημιουργία thumbnails στο WordPress (κάτι που άλλαξε με τις τελευταίες αναβαθμίσεις της πλατφόρμας), το timthumb χρησιμοποιούνταν κατά κόρον από τους κατασκευαστές θεμάτων, δωρεάν αλλά και premium. Αυτό σημαίνει ότι πολλοί χρήστες δεν αποκλείεται να το έχουν χωρίς καν να το γνωρίζουν.
Όπως και να έχει, η συμβουλή των ανθρώπων της Sucuri προς τους ιδιοκτήτες ιστοχώρων είναι να αφαιρούν από τον server τους όλα τα παλιά script και τους δοκιμαστικούς λογαριασμούς που μπορεί να δημιουργούν κατά καιρούς και που πλέον δεν χρησιμοποιούν – και αυτό ισχύει ανεξαρτήτως πλατφόρμας και όχι μόνο για ιστοχώρους σε WordPress.
Πηγή: PCWorld
Το παραπάνω άρθρο είναι αρκετά παλιό, αφού δημοσιεύτηκε στις 1 Νοεμβρίου 2011. Εάν κάποια από τις πληροφορίες που
αναφέρονται σε αυτό δεν ισχύει πια, ενημερώστε με μέσω της
φόρμας επικοινωνίας
για να το τροποποιήσω.
Συντάκτης άρθρου: Γιώργος Σαρηγιαννίδης
Ο Γιώργος Σαρηγιαννίδης είναι απόφοιτος του τμήματος Επικοινωνίας, Μέσων και Πολιτισμού του Παντείου και κάτοχος μεταπτυχιακού διπλώματος από το ίδιο τμήμα. Αυτή τη στιγμή εργάζεται ως freelancer σύμβουλος σε έργα διαδικτύου και intranets, με κύρια αντικείμενα την Αρχιτεκτονική της Πληροφορίας, την κατασκευή ιστοσελίδων και την διαχείριση περιεχομένου. Έχει ειδικευτεί στη μελέτη και τον αρχιτεκτονικό σχεδιασμό portals, intranets και δικτυακών εφαρμογών, ενώ στο παρελθόν έχει ασχοληθεί και με τη δημοσιογραφία.
ΑΚΟΛΟΥΘΗΣΤΕ ΤΟ FREEWEIRD