jump to navigation

WordPress for iOSが2.9にアップデート 2011年9月25日

Posted by sei in iPad, iPhone, iPod touch, WordPress.
add a comment

長らく存在は知られていたもののあまり使いものにならないという理由でダメな子扱いされていたWordPress for iOSこの度大きくアップデートし、かなりの機能向上を果たしました。ざっと挙げると

・リッチテキストの編集 bold italic link list 等のショートカットボタン
・フルスクリーンモード

・クイックプレビュー
・アプリ内ブラウザ

・Quick Photo機能からの画像投稿と最適化
・統計とコメント機能へのアクセス
・ジオタグ対応

特にiPadでの使用時におけるlook&feelがかなり改善されており無料アプリとしては出色の出来となっています。
(via:TNW) (App Store  link )

広告

WordPressの画像加工スクリプトTimThumbの脆弱性を狙ったゼロデイアタック 2011年8月3日

Posted by sei in security, WordPress.
1 comment so far

WordPressのテーマに広く利用されている画像のリサイズツール TimThumbに脆弱性があり、既にこの脆弱性を利用したゼロデイアタックが確認されました。事の発端はシアトルのIT企業Feedjit社CEOのMark Maunder氏が自分のブログがハックされ広告が貼られているのを発見。原因を調べたところ、TimThumbのしわざであると突き止めました。TimThumbはWordPressのテーマに広く使われており、スクリプト名でざっと検索しただけでも3900万件近くがヒットするので影響は大きいようです。攻撃者は任意のファイルをアップロードしてコードを実行可能で最新版のTimThumb 1.33に攻撃が確認されています。開発者のBen Gillbanks氏自身のサイトも先週金曜日から同じ攻撃を受けてハックされていました。使用中のWordPressのテーマにtimthumb.phpが使われていれば危険にさらされている可能性があります。

TimThumb 1.33での差し当っての対応策は以下の通り

1   SSHでウエブサーバにログインしてwordpressのインストールディレクトリに移動

2    find . -name ‘timthumb.php’  で検索( ‘thumb.php’ の場合もあり)

3    テキストエディタで(例 directory/that/tim/thumb/is/in/timthumb.php) を開く

4  27行目の $allowedSites = array (  ・・で始まる行を見つける

5   ( )の中身を全部削除し $allowedSites = array();  に変更

6  28行目が空白行で、29行目が “STOP MODIFYING HERE” となっていることを確認。保存して終了

これで例えば http://blogger.com.hogehogebadhackersite.com/badscript.php などの悪意のあるサイトにアクセスしても安全です。

この対応策の副作用としては言うまでもなく上記で削除したサイトからの画像の取り込みができなくなるので他のリサイズツールに移行する必要があります。

via http://markmaunder.com