Falha de segurança no timthumb.php

Uma falha de segurança no timthumb.php do tipo 0-day surge e vai dar muito trabalho, pois trata-se de uma API largamente utilizada.

[ad#texto]

Parece que vamos começar muito bem esta semana, tudo por causa do anuncio de uma falha de segurança no timthumb.php (0-day).

Falha de seguranca no timthumb.php
Falha de seguranca no timthumb.php

O timthumb.php é uma API utilizada para gerar exibição de miniaturas (thumb) “on-the-fly” e é largamente utilizada por designers em temas para o WordPress, Joomla e outros sites de terceiros.

Dá última vez que uma falha de segurança no timthumb.php tivemos relatos de serviços fora do ar e até mesmo o próprio servidor foi desativado, para se precaver da falha relatada será preciso remover o timthumb.php da sua aplicação ou configurar o Apache conforme demostrado abaixo.

Entendendo a falha: o PHP suporta a execução utilizando o operador backticks e a variável $url do timthumb.php falha ao escapar “$()” in “$command” causando desta forma a execução arbitrária de um comando inserido no contexto do script por um atacante.

Para se prevenir da falha de segurança do timthumb.php utilizando o Apache deve verificar se não existe nenhuma regra ID 400000, feito isso iremos adicionar uma regra de mod secutity:

# Rule 400000 - Timthumb vulnerability

SecRule REQUEST_URI "(?:timthumb|thumb|resize|thumbnail|crop).php" "deny,id:400000,log,auditlog,phase:2,status:412,chain,msg:'Thimthumb Vulnerability',severity:ALERT"

SecRule ARGS:src "(?:flickr.com|picasa.com|blogger.com|wordpress.com|youtube.com|wikimedia.org|photobucket.com)"

Como ficou claro a falha de segurança do timthumb.php do é grave e permite uma execução remota e arbitrária de código, por enquanto resta a precaução.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.