Blog

29 Desember 2016

PHP Mailer Liberaries Die webwerf ontbreek elke minuut wat jy nie hierdie artikel lees nie

/
Gepos deur

'N ongelooflike eksterne kode uitvoering weerloosheid gedoen PHPMailer, 'n stand-out onder die mossycup eik grootliks gebruik PHP e-pos stuur biblioteke, kan stel miljoene webwerwe in gevaar van aanspraak hacking.

Die onvolmaaktheid kon gevind word. 'N Sekuriteitspesialis met die naam Dawid Golunski. Wat meer is, kan 'n beginoplossing in PHPMailer 5 opgeneem word. 2. 18, wat dalk Saterdag ontslaan kon word. Dit blyk egter dat die patavium dalk onvoldoende was. Verder kan dit omgekeer word.

Die PHPMailer-biblioteek kan spesifiek alternatief aangewend word deur implikasie. Uiteindelik word Tom 'n beduidende aantal inhoudsoorsig-ekonomie-raamwerke (CMSs), insluitende WordPress, Joomla Drupal. Die plek waar die biblioteek nie ingesluit kan word nie. Voorheen, hul sentrumkode, dit sal toeganklik wees. Met betrekking tot illustrasie 'n Aparte module kan afwisselend met derdeparty-byvoegings verpak word.

As gevolg hiervan verskil die fout se slypkoorhout, met die begin van die webwerf met die webwerf. Byvoorbeeld, daardie Joomla-sekuriteitsamewerking het voorgeskryf dat daardie Joomla JMail-klas, wat een keer afhanklik is van PHPMailer, ekstra opdragte benodig wat daarop ingestel is om die onlogiese onvoorwaardelike gebruik te benut.

Die onvolmaaktheid sal inisieer word. Onvoldoende aanvaarding van die e-pos adresinligting van die sender. Dit kan ook toelaat dat 'n aanvaller dopkommando's invul wat op die webbediener in die instellings van die sendmail-projek uitgevoer kan word.

Groot misbruik verplig egter die omgewing van 'n web manifestasie op die webwerf dat werkgewers PHPMailer boodskappe sal stuur. Dit maak ook voorsiening vir die invoer van 'n persoonlike e-pos adres van die sender - die ligging wat in die e-poskop verskyn. Dit is nie redelik hoe gereeld sulke konfigurasies is nie, maar oor die algemeen web manifestasies bring die sender e-pos vooraf vas. Ook die beste permit kliënte moet inligting hul e-pos adres soortgelyk as 'n begunstigde.

"Alle plekke in die sentrum Joomla API, wat stuur pos gebruik maak van die sender adres wat in die wêreldwye opstelling gestel word. Verder beskou kliënte inligting nie 'n kans om elders te wees nie," het die Joomla-sekuriteitsamewerking vir 'n verslag gesê. "Uitbreidings wat pak 'n Differensieer aanpassing van PHPMailer afwisselend gebruik nie die Joomla API met stuur e-pos dalk 'n kans om weerloos te wees moet hierdie probleem. ".
Die WordPress-ontwikkelaars het op 'n vergelykende gevolgtrekking gekom en het op hul eie foutspoorder kennis geneem dat die interne wp_mail () werk wat gebruik word, teen die WordPress-sentrumkode nie beïnvloed kan word nie, gebruik nie die kraglose PHPMailer-kenmerk nie. Derdeparty-invoegtoepassings wat wp_mail () effektief gebruik, behoort hipoteties ook nie beïnvloed te word nie, maar die swaai na spesifieke invoegtoepassings kan tans ondersoek word.

"Die naderende 4. 7. 1-aankoms sal talle verligting inhou vir hierdie probleme, "het Dion Hulse, woordvoerder van WordPress, gesê. "Ons word ingedien met net veilige biblioteke vir WordPress - in elk geval as ons die kenmerk gebruik of nie. ".
Die Drupal-sekuriteitsgroep het ook 'n sekuriteitsverslag vir hierdie probleem uiteengesit. Daarbenewens het dit as krities gekontroleer, ondanks die feit dat die Drupal-sentrumkode nie beïnvloed sal word nie. Uiteindelik word Tom se onvolmaaktheid nagegaan.

"Gegewe die geweldige kritisiteit vir hierdie uitgawe en die tydsberekening oor die ontslag wat ons uitgereik het, is 'n algemene publikasiepublikasie publikasie met omsigtigheid moontlik Drupal-werfondersteuners beïnvloed," het dié samewerking gesê.

Op die inleidende vestiging word camwood omseil en algemene populêre misbruikskodes kan beskikbaar wees, daardie weerloosheid benodig nul-dagstatus - dit sal in die openbaar verwys en ongepak word. Verder, 'n direkte gevolg dat die effek wissel van webwerf na webwerf, afhangende van hoe PHPMailer mag gebruik word, is nie 'n eenvoudige benadering vir webmasters die probleem sal verlig sonder 'n noukeurige assessering.

As hulle aanvaar dat hulle PHPMailer reguit gebruik. Voorheen, hul webwerf se kode, moet hulle die biblioteek van die mees onlangse patchcord opgradeer, so gou as wat dit ontslaan word. Hulle moet verder uitvind of hulle op enige manier kontak met hul webwerf, terugvoer, registrasie, e-pos reset. Verskillende tipes dra boodskappe oor vir die hulp van 'n onverskrokke weergawe van PHPMailer. Wat meer aanneem dat 'n moontlikheidsaanvaarder die e-pos adres van die sender kan inlig.

Op die gebruik van 'n substansadministrasie raamwerk wat hulle verder moet opbou, moet die hulpwebwerf geweeg word, of dit beïnvloed word, langs sy standaardopset. Daarna behoort hulle die swaai vir enige ander te eis. By watter derdeparty-invoegtoepassings afwisselende modules wat hulle nodig het. Ook wat kan PHPMailer op hul eie gebruik.

Laat 'n antwoord

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!