blog

29 decembar 2016

PHP Mailer Liberari ubija web lokaciju svake minute da ne čitate ovaj članak

Nesumnjivo izvršenje defanzivnog koda daljinskog upravljača uradio je PHPMailer, izostanak među mosikupskim hrastom koji je široko iskorišćen PHP bibliotekama za slanje e-pošte, Možda je postavio milione lokacija U opasnosti od tvrdnje o hakiranju.

Možda je pronađen nesavršenost. U vezi sa specijalistom za bezbednost pod imenom Dawid Golunski. Još je početni ispravak možda uključen u PHPMailer 5. 2. 18, koji je možda bio otpušten u subotu. Međutim, ispostavlja se da je patavij možda bio neadekvatan. Osim toga, mogao bi se zaobići.

Biblioteka PHPMailer može se iskoristiti naizmenično implicitno. Tom prilikom je Tom istraživao značajne brojeve sadržanih u kontekstu ekonomskog okruženja (CMS), uključujući i WordPress, Joomla Also Drupal. Mesto na kome biblioteka možda nije uključena. Ranije, njihov centarski kod će biti dostupan. U vezi sa ilustracijom. Posebno modul se može izmeniti u paketu sa dodacima treće strane.

Zahvaljujući tome, ta pomična šipka se razlikuje počevši od vebsajta sa vebsajtom. Na primjer, ta Joomla saradnja u oblasti sigurnosti diktirala je da ta klasa Joomla JMail, koja zavisi od PHPMailera, zahtijeva dodatne potvrde koje se postavljaju na nelogičnom iskorištavanju bezbjednosti.

Nepravilnost će biti pokrenuta U slučaju neupotrebe prihvatanja informacija o pošiljaocima e-pošte. Takođe bi se omogućilo da napadač ubaci komande shell-a koje se mogu izvršiti na web serveru u postavci projekta sendmail.

Međutim, velika zloupotreba obavezuje na blizinu web manifestacije na sajtu da će zapošljavanja PHPMailer poslati poruke Takođe dozvoljava unos određene lokacije e-pošte pošiljaoca - lokaciju koja se nalazi u zaglavlju e-pošte. Nije razumno koliko su regularne takve konfiguracije, na opštim veb manifestacijama donijeti predefinisanu e-mail adresu pošiljatelja. Takođe, najbolje dozvole klijentima treba da informišu svoju e-adresu. Slično kao Korisnik.

"Svi spotovi u centru Joomla API-a koji pošalju poštu koriste adresu pošiljaoca postavljenu u setovima širom sveta. Štaviše, ne smatraju informacije klijenta priliku da budu smeštene na drugim mestima", rekla je Joomla bezbednosna saradnja za izveštaj. "Međutim, ekstenzije koje pakuju diferencijalno prilagođavanje PHPMailera naizmjenično ne koriste Joomla API sa slanjem e-pošte mogu biti šanse da budu bezobzirni ako bi ovo trebalo. ".
WordPress programeri stigli su do Komparativnog zaključka, naglašavajući na sopstvenom praćenju greške da unutrašnji rad wp_mail () koji se koristi za WordPress centar ne može uticati na to da ne koristi nemoguće PHPMailer karakteristike. Plugovi trećih strana koji koriste wp_mail () efektno ne bi trebalo da utiču na hipotetički uticaj, ali ipak može biti pod uticajem određenih dodataka.

"Približavajući 4. 7. Dolazak 1-a će imati brojne olakšice za ova pitanja ", rekao je dizajner vodećeg WordPressa Dion Hulse. "Podneli smo samo dostavljanje sigurnih biblioteka za WordPress - u svakom slučaju ako koristimo karakteristiku ili ne. ".
Drupalova sigurnosna grupa je takođe postavila bezbednosni izveštaj za ovo pitanje. Što je više provereno kao kritičko, uprkos činjenici da Drupal centarski kod neće biti pod utjecajem. Na kraju Tom razmišlja o toj nesavršenosti.

"Imajući u vidu neverovatnu kritičnost za ovo pitanje i vremenski raspored o njegovom pražnjenju, objavljujemo Opštu publikaciju o populacionoj administraciji sa oprezom, moguće je utjecati na Drupal održavače", rekla je ta saradnja.

Na uvodnom dijelu kampera bi se moglo zaobići i kodeks opšte upotrebe stanovništva može biti dostupan, ta bezazlenost treba status nultog dana - ona će biti javno upućena i otpuštena. Osim toga, direktan rezultat takvog efekta varira od web stranice do web stranice, oslanjajući se na to kako se PHPMailer može koristiti, ne postoji jednostavan pristup za webmastere koji će osloboditi problem bez pažljive procjene.

Pod pretpostavkom da su njihova upotreba PHPMailer direktno ranije, kod njihovog web sajta trebalo bi da popravi biblioteku najskorijeg patchcord-a što je brzo i slično kao i njegovo otpuštanje. Oni bi trebali dodatno potaknuti i shvatiti da li na bilo čemu za kontakt njihovog sajta, povratne informacije, registracija, resetovanje e-pošte. Pored toga, različiti tipovi prenose poruke za pomoć bezbrižne izvođenja PHPMailera. Što više pretpostavljaju da bi napadač mogao da informira lokaciju te adrese e-pošte.

Kada bi koristili okvir za administraciju supstanci, oni bi trebali dodatno potaknuti svoju web stranicu za pomoć, saznajući da li je njen uticaj učestvovao zajedno sa svojim podrazumevanim podešavanjem. Nakon toga, oni bi trebali procijeniti one koji su se potrudili za sve. Na bilo kom nezavisnim plug-inima naizmjenično modulima koji su im trebali uvesti. Takođe, koji mogu sami koristiti PHPMailer.

GTranslate Your license is inactive or expired, please subscribe again!