مدونة

29 ديسمبر 2016

PHP Mailer Liberaries Kills website every minute you don't read this this article

/
أرسلت بواسطة

تم إجراء عملية إزالة الأخطاء عن بعد في التعليمات البرمجية عن بعد باستخدام PHPMailer ، وهو أحد أبرز الصيحات في أوساط البلوط الموسكوب ، والذي يستخدم على نطاق واسع البريد الإلكتروني PHP لإرسال المكتبات ، وقد يقوم بتعيين ملايين المواقع في خطر من المطالبة بالقرصنة.

قد يكون تم العثور على النقص تجاه أحد المتخصصين الأمنيين ويدعى Dawid Golunski ما هو أكثر من قد يكون أدرجت بداية الإصلاح في PHPMailer 5. 2. 18 ، التي ربما تم تفريغها يوم السبت. ومع ذلك ، اتضح أن patavium قد تكون غير كافية.

يمكن استخدام مكتبة PHPMailer بشكل خاص بالتناوب بشكل ضمني. في نهاية المطاف ، قام توم بمشاهدة عدد كبير من أطر الإشراف على المحتوى (CMSs) بما في ذلك WordPress و Joomla Also Drupal. المكان الذي قد لا يتم تضمين المكتبة فيه من قبل ، رمز المركز الخاص به ، سيتم الوصول إليه مائلًا في ما يتعلق بالتوضيح يمكن تخصيص وحدة منفصلة بالتناوب مع إضافات جهات خارجية.

نتيجة لذلك ، تختلف تلك العيوب لكابو التأثير مع موقع الويب مع موقع الويب. على سبيل المثال ، فرض التعاون الأمني ​​بين Joomla على أن فئة Joomla JMail ، التي تعتمد مرة واحدة على PHPMailer ، تحتاج إلى مزيد من عمليات التحقق من الصحة التي تستقر على استغلال عدم الدفاع عن الرأي.

وسوف يتم البدء في النقص في قبول نقش رقيق لمعلومات عنوان البريد الإلكتروني للمرسل كما قد يسمح لمهاجم بتوجيه أوامر shell التي قد يتم تنفيذها على خادم الويب في إعداد مشروع sendmail.

ومع ذلك ، فإن الإساءة العظيمة تلزم تلك المجاورة من مظاهرة على شبكة الإنترنت على الموقع أن PHPMailer سوف ترسل رسائل أيضا تسمح بإدخال موقع البريد الإلكتروني مرسل مخصص - الموقع الذي يبدو في رأس من البريد الإلكتروني. وليس من المعقول أن تكون مثل هذه التهيئات العادية ، على وجه العموم المظاهر على شبكة الإنترنت تجلب المرسل البريد الإلكتروني مسبقا أيضا أفضل عملاء الحصول على معلومات عنوان بريدهم الإلكتروني بالمثل المستفيد.

"جميع المواقع في مركز Joomla API التي ترسل البريد تستخدم عنوان المرسل المحدد في الإعداد العالمي ، علاوة على ذلك ، لا تعتبر أن معلومات العميل يجب أن تكون في مكان آخر" ، قال التعاون الأمني ​​لجملة في تقرير. "ومع ذلك ، فإن الإضافات التي تحزم التفاضل بين phpMailer بالتناوب ولا تستخدم واجهة برمجة تطبيقات Joomla مع إرسال البريد الإلكتروني ، قد تكون فرصة لا يمكن الدفاع عنها في حالة حدوث هذه المشكلة. ".
توصل مطورو WordPress إلى استنتاج مقارن ، مشيرين إلى تعقب الأخطاء الخاص بهم الذي يستخدمه wp_mail () الداخلي نحو رمز مركز WordPress ، حيث أنه لا يتأثر بخاصية PHPMailer غير الفعالة. يجب أن تتأثر المكونات الإضافية التابعة لجهة خارجية والتي تستخدم wp_mail () بشكل فعلي لا من الناحية الافتراضية ، إلا أن التأثير على المكونات الإضافية المحددة قد يكون قيد الدراسة حاليًا.

“تقترب 4. 7. وقال ديون هولس كبير المصممين لدى وورد برس: "إن وصول 1 سيحمل الكثير من الراحة لهذه القضايا". "لقد تم إرسالنا مع شحن مكتبات آمنة لـ WordPress - على أي حال إذا استخدمنا الخاصية أم لا. ".
وبالمثل وضعت مجموعة دروبال للأمن تقريرًا أمنيًا لهذه المشكلة ، تم التحقق منه على أنه أكثر أهمية ، على الرغم من حقيقة أن رمز مركز دروبال لن يكون متأثراً في نهاية المطاف ، حيث يلاحق توم تلك النقص.

"بالنظر إلى الحرجية المذهلة لهذه القضية والتوقيت الخاص بإفراغها فإننا نصدر منشور عام عن إدارة السكان بحذر من المحتمل أن يؤثر على مشرفى دروبال في الموقع" ، قال ذلك التعاون.

على camwood تسوية تمهيدية يمكن تجاوزها ورمز عام إساءة استخدام السكان قد تكون متاحة ، تلك defenselessness في حاجة إلى حالة يوم صفر - سيتم المشار إليها علنا ​​وغير مزورة. علاوة على ذلك ، نتيجة مباشرة ، يختلف هذا التأثير من موقع الويب إلى موقع الويب ، مع الاعتماد على كيفية استخدام PHPMailer ، وليس هناك طريقة بسيطة لمشرفي المواقع للتخفيف من المشكلة دون تقييم دقيق.

إذا افترضنا أنهم يستخدمون PHPMailer بشكل مباشر سابقًا ، رمز موقع الويب الخاص بهم ، يجب عليهم إصلاح مكتبة الباتشكورد الأحدث عهداً كما هو الحال بشكل مماثل مع تصريفها. يجب عليهم كذلك أن يدركوا فيما إذا كانوا في أي مكان للاتصال بموقعهم ، وتعليقاتهم ، وتسجيلهم ، وإعادة تعيين البريد الإلكتروني علاوة على ذلك ، تنقل أنواع مختلفة الرسائل لتلك المساعدة من عملية نقل لا يمكن الدفاع عنها من PHPMailer ما هو أكثر افتراضًا أن أحد المعتدين المحتملين يمكنه أن يطلع على موقع بريد المرسل هذا.

على استخدامها إطار عمل إدارة المواد يجب عليهم تعزيز موقع الويب الخاص بالمساعدة على معرفة ما إذا كان تأثيره قد تم التوصل إليه جنبًا إلى جنب مع الإعداد الافتراضي. بعد ذلك يجب عليهم تقييم هذه التأثيرات لأي في أي من المكونات الإضافية الخاصة بالجهات الأخرى بالتناوب والتي تحتاج إلى تقديمها أيضًا والتي قد تستخدم PHPMailer من تلقاء نفسها.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!