TimThumb Rawan Hacker : Zero Day Exploit!!

Buat temen temen yang pake script timthumb.php dengan versi kurang dari 1.3.4 , terutama 1.3.2 kebawah mending cepetan di UPDATE!! gih scriptnya, karena beberapa hari yang lalu baru ditemukan lubang security dalam script timthumb yang sangat mengundang , remote code execution {eksekusi kode jarak jauh} , buat yang males baca langsung update timthumb ke versi 2.0 dari _http://code.google.com/p/timthumb/

buat yang pengen tau lebih jauh atau ngira ini hoax silahkan lanjut baca

"ini apaan sih bro ? efeknya gimana ?"
Security hole atau lubang keamanan { kenikmatan bagi sang attacker }ini memungkinkan seorang attacker {penyerang} untuk memerintahkan timthumb mengambil file berbahaya dari server sang penyerang yang nantinya akan dieksekusi dan memberikan akses terhadap server anda , kerugiannya ? BOANYAK!! Cuman dengan upload secuil malicious file kedalam server anda , sang attacker dapat menjalankan perintah dari yang sederhana, seperti listing file , sampai modifikasi file dalam server anda ct: upload, download, bahkan MENGGANTI isi script php yang ada di server anda !! you wouldn't want that to happen , would you ?
Bayangkan kalo tiba tiba adsense tidak ada impression sama sekali padahal masih tampil di situs , and setelah di cek Publisher ID ternyata sudah diganti , atau referal amazon tiba tiba berubah , atau lebih parah lagi situs anda dihapus

"bagaimana bisa tahu kalo ane make timthumb apa kaga bro ? "
banyak wordpress theme yang menggunakan timthumb untuk manipulasi image, fungsi auto thumbnail size misalnya , search aja di folder temen2 file timthumb.php , kalo ada ya berarti make n for your attention , timthumb ini ga cuma dipake di wordpress aja , karena bentuknya script php independent yang tidak bergantung pada wordpress. jadi meski pakenya joomla, ato apapun cms nya , masih tetep ada kemungkinan pake timthumb, search aja

"ane make 1.3.3, aman ga bro ?"
not sure, sejauh ini versi yang dites kena exploit cuma sejauh 1.3.2 , tapi tidak ada salahnya sedia sendok sebelum berbuka..eh, sedia payung sebelum hujan

"trus solusinya apa nih ? updatenya dimana dong ? "
Solusinya ? UPDATE TimThumb mu !!! versi timthumb terbaru sudah dibenahi untuk mengatasi problem ini , timThumb 2.0 bisa didownload di _http://code.google.com/p/timthumb/

semoga bermanfaat , CMIIW , TMIIR {traktir mi if im right}

maaf, diharapkan memberikan bentuk terima kasih bukan berupa like tapi berupa ebook , themes, sumbangan pulsa sumbangan paypal atau domain jika dirasa berguna ...huahaha ..canda ah , buruan update gih , keburu disusupin server nya

tar diupdate lagi kalo perlu

sumber : googling aja wordpress zero day vulnerability

 

makasih mas bro, segera dilaksanakan

 

Makasih infonya gan.. Walapun ane belum pernah pake Timthumb soalnya bingung pasangnya gimana padahal butuh banget

 

seingat ane ane juga lom pernah make, pake thumbnailnya wp aja cukup udahan cari tutorialnya aja om , ga gitu ribet kayaknya

 

hik, akun hawkhost ane kena malicous, katanya gini :

ane gak tahu tuh timthumb dimana tempatnya, skrg masih bleum bisa login hawkhost karena akun disable. sedih banget

 

Wahhh bahaya juga ya timthumb... Kalo di update, bisa ngerusak theme gak mastah?

 

bagi temen2 yg g mau capek update timthumb ...bisa pake plugin imthumb Vulnerability Scanner downlot dimari _http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/