Używasz TimThumba? Właśnie przestaje być wspierany
TimThumb to skrypt skalujący obrazki „w locie”. Na temat jego wad i zalet, a także znalezionych w nim luk bezpieczeństwa pisałem półtorej roku temu. Co ma on wspólnego z WordPressem? Korzysta (lub korzystało) z niego wielu twórców motywów (głównie płatnych). Problem w tym, że jego autor ogłosił właśnie, że zaprzestaje rozwijania i wspierania tego skryptu. Oznacza to, że jeśli ktoś odkryje w nim kolejną lukę, to nie zostanie ona usunięta.
Jeśli Twoja strona korzysta z TimThumba, to należy jak najszybciej się tym zająć i pozbyć się tykającej bomby.
TimThumb to skrypt służący do skalowania obrazków. Jest bardzo prosty w użyciu, a dzięki wbudowanemu mechanizmowi cache nie obciąża w znaczący sposób serwera – i prawdopodobnie właśnie dlatego upodobali go sobie twórcy szablonów dla WordPressa (mimo że nie powstał on z myślą o tym CMSie). W sierpniu 2011 roku odkryto w nim dość poważną lukę bezpieczeństwa, która została usunięta w ciągu dosłownie kilku dni. Kilka tygodni po tym incydencie autor skryptu ogłosił wydanie wersji 2.0 – skrypt został przepisany praktycznie od nowa i jest całkowicie bezpieczny. Niestety, łatka niebezpiecznego skryptu została do TimThumba przyklejona już chyba na stałe, mimo że w tym momencie po prostu mu się ona nie należy.