画像をリサイズするためにWordPressプラグインなどで利用されているtimthumb.phpについて調べてみると、「脆弱性があるから削除しよう」という文章が見つかるのですが、とっくの昔に対策済みのようなので、紹介しておきます。

「TimThumb.phpには脆弱性があるから注意！」という記事

「WordPressのテーマやプラグインでtimthumb.phpをお使いの方は脆弱性が見つかったのでご注意！ | め組の小ネタ」にて、プラグインのディレクトリ丸ごとの削除などが推奨されています。

これが書かれたのは「2011年8月3日」です。

「WordPress Popular Postsに脆弱性のあるtimthumb.phpが入ってた | Azrael」では、前掲の記事を参考にtimthumb.phpを見つて削除した、と書かれていますが、この投稿日は「2012年9月28日」です。

そのリンク先

それらの記事からのリンク先「Vulnerability Found in timthumb.php | VaultPress Blog」では、TimThumb.phpの作者が「2011年11月28日」に、修正済みであることを報告しています。

脆弱性発見日→修正日

さらに細かく調べてみると、結局は2011年8月2日に脆弱性が報告され、その日からだんだんと対策され、最終体な対策が完了したと言われている2.8.2（Revision:r187）がリリースされたのが2011年10月17日でした。

TimThumb.php 2.8.2より前に脆弱性有り

Issue 363 - timthumb - Could not find the internal image you specified - image crop zoom resize management - Google Project Hostingにも書かれているとおり、2.8.2でその脆弱性は解決されているようです。

The oldest safe version is 2.8.2. Anything older than this is vulnerable （引用元）

2.8.2より前ならバージョンアップを

したがって、2.8.2以降なら、この脆弱性は気にしないでよいようです。timthumb.phpは、WordPress Popular Postsという有名プラグインでもサムネイルの縮小に利用されており、結果としてtimthumb.phpを使っているWordPressブロガーの人は多いのではないかと思います。脆弱性の修正についての記述が見当たらなかったので、ここにて紹介しておきました。

公開日：2013年5月31日

コメント（0）

新しいコメントを投稿

<< NEW 『WordPress Popular Posts でサムネイルが表示されない原因と TimThumb.php のエラーについて』
｜HOME｜
『WordPressプラグインNginx Cache ControllerでPC用キャッシュとスマホ用キャッシュの両方を削除する設定メモ』 OLD >>

カテゴリナビ
- ウェブサイト製作 (158)
- その他のカテゴリ...
著者紹介

「情報科学屋さんを目指す人のメモ」 http://t.co/KJ1c8Z9kR3
— did2 (@did2memo) 2014, 5月 19

ブログが趣味で、スマホアプリの利用中に発生するトラブルや不具合の対策手順や障害情報、設定の変更方法などについて、解説記事をよく書いています。

自分が困ったことをブログに書けば、次に困る人の参考になって、みんながみんな同じ苦労をせずに済む、というのが原点です。

最近の関心は、スマホやパソコンが苦手な人の行動や思考、そしてそんな人を手助けする方法です。

Amazonのアソシエイトとして、did2は適格販売により収入を得ています。

RSS | Facebook | Twitter | About

WordPressプラグインなどで利用されているTimThumb.phpの脆弱性について