блог

29 снежні 2016

PHP Mailer Liberaries Забівае вэбсайт кожную хвіліну вы не чыталі гэтую артыкул

Недаверліва выдаленае выкананне кода безабароннасць зроблена PHPMailer, выбітны сярод mossycup дуба шырока выкарыстоўваецца PHP адпраўкі электроннай пошты бібліятэкі, Вы можаце ўсталяваць мільёны сайтаў ў небяспецы ад патрабаванні ўзлому.

Недасканаласць можа быць знойдзены На спецыяліст па бяспецы імя Dawid Golunski Што больш пачынае выпраўленне, магчыма, былі ўключаныя ў PHPMailer 5. 2. 18, якія, магчыма, былі выгружаны субота. Тым не менш, аказваецца, што Patavium можа быць неадэкватным Акрамя таго, магчыма зрабіць абыдзены.

Бібліятэка PHPMailer можа быць выкарыстана спецыяльна па чарзе імплікацыі У рэшце рэшт Тома перачытваў значнае ўтрыманне колькасці курыраваць структуры эканомікі (CMSS), уключаючы WordPress, Joomla Таксама Drupal. Месца бібліятэка можа быць не ўключаны Раней іх цэнтр код, ён будзе схільны даступныя ў дачыненні да ілюстрацыя асобны модуль напераменку можа быць запакаваная з дапамогай іншых дапаўненняў.

У сувязі з гэтым, разгойдвання бафия яркая тых, дэфектаскапіі адрозніваюцца, пачынаючы з вэб-сайта з вэб-сайта. Напрыклад, тыя, супрацоўніцтва ў галіне бяспекі Joomla дыктавала, што той, клас Joomla JMail, якая залежыць як толькі PHPMailer, патрэбныя дадатковыя валідацыю настроеных, якія асядаюць на выкарыстанне безабароннасці нелагічна.

Недасканаласць будзе ініцыяваная Да ўдзімаць прыёму інфармацыі адрасы электроннай пошты адпраўніка таксама можа дазволіць завадатая вылье каманды абалонкі, якія могуць быць выкананы на вэб-сэрвэры ў наладах у Sendmail праекта.

Тым не менш, вялікая злоўжыванне абавязвае гэтыя ваколіцы вэб праявы на сайце, што заробкі PHPMailer будзе адпраўляць паведамленні дазваляе таксама ўвод электроннай пошты карыстацкага размяшчэнню адпраўніка - у месцы, якое, здаецца, у з загалоўка электроннай пошты. Яго не разумныя, як рэгулярныя такія канфігурацыі, як правіла, на вэб-праявы прынесці электроннай пошты адпраўніка перадвызначаныя таксама лепшыя дазволу кліенты павінны інфармацыя свой адрас электроннай пошты Сапраўды гэтак жа ў якасці атрымальніка.

«Усе месцы ў цэнтры Joomla API, якія адпраўляюць пошту выкарыстоўваць адрас адпраўніка, усталяваны ў сусветнай ўстаноўцы Акрамя таго не ўлічвае інфармацыю пра кліента павінен шанец быць размешчаны ў іншым месцы," сказала супрацоўніцтва ў галіне бяспекі Joomla для справаздачы. «Тым не менш, пашырэнне, якія таксама пакет дыферэнцыруемых адаптацый PHPMailer напераменку не выкарыстоўваць API Joomla з адпраўкай электроннай пошты можа шанец быць безабаронным павінен гэтым пытаннем. «.
Распрацоўшчыкі WordPress прыйшлі да высновы, параўнальны, адзначыўшы на сваёй уласнай сістэме адсочвання памылак, што ўнутраны wp_mail () праца выкарыстоўваецца Да кода WordPress цэнтра можа быць не ўплываюць на яго не выкарыстоўвае бяссільную PHPMailer характарыстыку. Іншыя ўбудовы, якія выкарыстоўваюць wp_mail () эфектыўна павінны гіпатэтычны ня зрабіць ўплыў альбо, аднак ўплыў на асобныя убудова можа быць у цяперашні час на разглядзе.

«Надыходзячы 4. 7. 1 прыбыццё правядзе шматлікія льготы для гэтых пытанняў, »сказаў WordPress вядучага дызайнера Dion Халса. «Мы прадставілі толькі з адпраўкай абароненых бібліятэк для WordPress - у любым выпадку, калі мы выкарыстоўваем характарыстыку ці не. «.
Група бяспекі Drupal таксама выкладае справаздачу бяспекі для гэтай праблемы Што больш праверанага гэта так крытычна, нягледзячы на ​​тое, што код Drupal цэнтр будзе не пад уплывам У рэшце рэшт Том перачытваў гэтыя недасканаласці.

«Улічваючы дзіўную крытычнасць для гэтага пытання і тэрмінаў аб яго выкананні мы Выстаўленне агульнай публікацыі адміністрацыі насельніцтва з асцярожнасцю, магчыма, пад уплывам Drupal суправаджаюць сайт,» сказала, што тое супрацоўніцтва.

На ўступнай пазіцыянавання бафии яркага быць абыдзены і агульнае насельніцтва код няправільнага выкарыстання можа быць даступныя, тым безабароннасці патрэбна статус нулявога дня - гэта будзе публічна згадваюцца і невыпраўленыя. Акрамя таго, прамы вынік тых эфект змяняецца з сайта на сайт, абапіраючыся на як PHPMailer можа быць выкарыстана, значыць не просты падыход для вэба-майстроў пазбавяць пытанне без дбайнай ацэнкі.

Мяркуючы, што выкарыстанне PHPMailer прамалінейна Раней код свайго вэб-сайта, яны павінны перабудаваць бібліятэку з самых апошніх патчкордовый VERSIFY так хутка Падобна таму, як яго выпісалі. Яны павінны ў далейшым умацаванні таксама высветліць, ці з'яўляецца У любой для кантакту іх сайта, зваротная сувязь, рэгістрацыя, скід па электроннай пошце Акрамя таго розныя тыпы перадачы паведамленняў для тых, хто дапамогі безабароннай выкананне PHPMailer Што яшчэ ў здагадцы, што магчымасць які нападаў мог інфармацыі тых адпраўнікоў электроннай пошты месцазнаходжанне.

На іх выкарыстання рамкі ўвядзення рэчывы, яны павінны ў далейшым умацаванні ўзважваць яго дапамозе вэб-сайт на малюнку з паўплывалі Ці яго заключалі нароўні з яго устаноўкай па змаўчанні. Пасля гэтага яны павінны аслоў тыя панавалі для любога У любых іншых убудоў па чарзе модуляў, якія яны павінны ўведзеныя таксама, якія маглі б выкарыстоўваць PHPMailer самастойна.

пакінуць каментар

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!