Blog

29 Dec 2016

PHP Mailer Liberaries Bu məqaləni oxumadığınız hər dəqiqədə veb saytını öldürür

PHPMailer, inanılmaz bir uzaqdan kodun icra edilməməsi, mossycup palıdında geniş istifadə edilən PHP elektron poçtu kütləvi kitabxanalar göndərən bir standout, milyonlarla site qurmağı təhlükə altına ala bilər.

Qüsursuzluq Dawid Golunski adlı bir təhlükəsizlik mütəxəssisi qarşısında tapılmış ola bilər. PHPMailer 5-da bir başlanğıc fikri daha əlavə ola bilər. 2. 18, şənbə günü boşalmış ola bilər. Ancaq bu patavimin qeyri-kafi ola biləcəyi ortaya çıxır.

PHPMailer kütüphanesi xüsusi olaraq alternativ olaraq istifadə edilə bilər. Son nəticədə Tom, WordPress, Joomla Da Drupal da daxil olmaqla əhəmiyyətli sayda məzmunu nəzarət edən iqtisadiyyat çərçivələrinə (CMSs) baxır. Kitabxana yerə daxil ola bilər Daha əvvəl, onların mərkəzi kodu əlverişli olacaqdır. Şəkil ilə bağlı olaraq ayrı bir modul alternativ olaraq üçüncü tərəf əlavələri ilə paketlənə bilər.

Bunun səbəbi ilə, bu qüsurun tünd örtüklü veb səhifəsi veb saytı ilə başlayır. Məsələn, Joomla təhlükəsizlik əməkdaşlığı bir dəfə PHPMailerdən asılı olan Joomla JMail sinifinin, müdafiəsizliyi mantıksız istifadə etmək üçün həll olunan əlavə qiymətləndirmələrə ehtiyacı olduğunu diktə etdi.

İmperfeksiya göndərilən şəxsin elektron poçt ünvanına aid informasiyasını qəbul etməməyə yönəldiləcək. Həmçinin assailant sendmail layihəsinin qəbulu zamanı veb serverdə yerinə yetirilə bilən kabuk əmrlərini tətbiq etməyə imkan verə bilər.

Bununla belə, böyük sui-istifadə, PHPMailer işəgötürənlərin veb saytında veb-təzahüratın yaxınlığını məcbur edir, həm də xüsusi bir göndəricinin e-poçt ünvanı yerləşdirilməsinə icazə verir - poçtun başlığından görünən yer. Nə qədər müntəzəm belə konfiqurasiyaların olması, ümumiyyətlə, veb-təzahüratlarda göndəricinin e-poçtunu əvvəlcədən müəyyənləşdirmişdir. Bundan əlavə, müştərilərə e-poçt ünvanlarını məlumatlandırmaq üçün ən yaxşı icazə verən bir Benefisiar kimi.

Joomla təhlükəsizlik əməkdaşlığı bir hesabat üçün "Joomla API mərkəzində olan bütün ləkələr dünya səviyyəli qurulan göndərici ünvanından istifadə edir. Müştəri məlumatlarını başqa yerdə yerləşdirmə şansını nəzərə almır" dedi. "Lakin, PHPMailer'ın fərqli uyğunlaşmasına alternativ olaraq daxil olan uzantılar, Joomla API'sından istifadə edərək, e-poçt ilə bu məsələyə müdafiəsiz olma şansı ola bilər. ".
WordPress geliştiricileri, öz daxili hata düzelticilerine, daxili wp_mail () işinin WordPress merkezi koduna doğru etkilenmeyebileceğine inandığını belirterek, müqayisəli bir nəticəyə gəldi. Bu, gücsüz PHPMailer karakteristiğini kullanmıyor. Wp_mail () istifadə edən üçüncü tərəf pluginlər hipotetik olaraq təsir göstərməməlidir, lakin müəyyən eklentilərə baxma prosesi hazırda araşdırılmalıdır.

"4-ə yaxınlaşır. 7. 1 gəlişi bu məsələlər üçün çoxsaylı rahatlama olacaq ", - deyə WordPress aparıcı dizayneri Dion Hulse bildirib. "Biz yalnız WordPress üçün təhlükəsiz kitabxanalar göndərməklə təqdim edirik - hər hansı bir halda biz xarakterik və ya istifadə əgər. ".
Drupal təhlükəsizlik qrupu da bu məsələyə dair bir təhlükəsizlik hesabatı hazırlamışdır Drupal mərkəz kodunun təsirinə baxmayaraq, son dərəcə kritik olaraq yoxlanılmışdır. Nəhayət, Tom bu imperfeksiyaya münasibətdədir.

"Bu məsələ ilə əlaqədar kritik kritikliyi nəzərə alaraq və onun axıdılması haqqında vaxtaşırı olaraq Drupal saytını dəstəkləyənləri ehtiyatla ehtiva edən ümumi əhali rəhbərliyi dərc etdiririk", - deyə əməkdaşlıq bildirib.

Təqdimatın yerinə yetirilməsinə görə camveldən keçməlisiniz və ümumi əhalinin sui-istifadəsi kodları mövcud ola bilər, bu müdafiəsizliyə sıfır günlük statusu lazımdır - ictimaiyyətə açıqlanacaq və çatdırılacaq. Bununla yanaşı, PHPMailerin necə istifadə olunacağına istinadən veb saytdan saytın saytına qədər birbaşa nəticəsi var, webmasters üçün sadə yanaşma məsələni diqqətlə qiymətləndirmədən azad edəcəkdir.

PHPMailer-dən istifadə etdiyini fərz etsək Əvvəllər onların veb-sayt kodları, ən son patchcord kitabxanasını əsasən onun xəstəxanadan çıxardığı kimi əks etdirməlidirlər. Bundan əlavə, onların saytın əlaqə, geribildirim, qeydiyyatı, e-poçt ünvanlarını sıfırlamaq üçün nə olursa olsun daha da gücləndirilməlidirlər. Bundan əlavə, müxtəlif növlər PHPMailerın müdafiəsiz verilməsi üçün mesajlar çatdırırlar.

Onların maddi idarəetmə çərçivəsindən istifadə etdikləri üçün, onların daha çox yardım göstərməsinə köməkçi səhifəsini çəkmək lazımdır. Bundan sonra onlar hər hansı bir üçün səy göstərməlidirlər. Üçüncü şəxslərin pluginlərindən əlavə PHPMailer istifadə edə biləcəklər.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!