blog

29 desembre 2016

PHP Mailer Liberaries Mata el lloc web cada minut que no llegiu aquest article

/
Publicat per

Una incrèdula control remota de l'execució de codi de seguretat no feta PHPMailer, un destacat entre el roure de mossycup àmpliament utilitzat les biblioteques d'enviament de correu electrònic PHP, podria establir milions de llocs en risc de reclamar el pirateig.

La imperfecció podria haver estat trobada cap a un especialista en seguretat anomenat Dawid Golunski. A més, es podria haver incorporat una correcció inicial a PHPMailer 5. 2. 18, que podria haver estat donat d'alta el dissabte. Tanmateix, resulta que el patavium podria haver estat inadequat. A més, podria passar per alt.

La biblioteca de PHPMailer pot ser utilitzada específicament alternativament per implicació. Finalment, Tom està examinant un nombre significatiu de continguts que supervisen els marcs de l'economia (CMS), inclosos WordPress, Joomla també Drupal. El lloc on la biblioteca no es pot incloure Anteriorment, el seu codi central, serà inclinat accessible Pel que fa a la il·lustració, un mòdul independent pot alternar-se amb altres complements de tercers.

A causa d'això, els camwoods de difamació d'aquestes falles difereixen a partir del lloc web amb el lloc web. Per exemple, la cooperació de seguretat de Joomla va dictar que aquells de Joomla JMail, que depèn una vegada PHPMailer, necessiten configuracions addicionals que s'estableixen a l'hora d'explotar la indefensió il·lògica.

La imperfecció s'iniciarà cap a una acceptació insuflada de la informació de l'adreça de correu electrònic del remitent. També es podria permetre que un agressor infusió les ordres de shell que es podrien executar al servidor web en la configuració del projecte sendmail.

Tanmateix, un gran abús obliga a la proximitat d'una manifestació web al lloc web que els llocs de treball de PHPMailer enviaran missatges. També permet introduir una ubicació de correu electrònic del remitent personalitzat: la ubicació que apareix a la capçalera del missatge. No és raonable com són aquestes configuracions regulars, en general, les manifestacions web porten l'adreça del remitent predefinit. A més, el millor permetre que els clients informin la seva adreça de correu electrònic de la mateixa manera que Un beneficiari.

"Totes les ubicacions al centre de l'API de Joomla que envien correus utilitzen l'adreça de remitents establerta a la configuració mundial. A més, no considera que la informació del client tingui la possibilitat d'ubicar-se en un altre lloc", va dir la cooperació de seguretat de Joomla per a un informe. "No obstant això, les extensions que inclouen una adaptació diferenciada de PHPMailer alternativament no utilitzen l'API de Joomla amb l'enviament de correu electrònic, podrien tenir la possibilitat de ser indefensa si es tractés d'aquest problema. ".
Els desenvolupadors de WordPress van arribar a una conclusió comparativa, observant en el seu propi seguidor d'errors que el treball wp_mail () intern utilitzat Cap al codi del centre de WordPress no es pot veure influït perquè no utilitzi la característica de PHPMailer impotent. Els connectors de tercers que utilitzen wp_mail (), efectivament, no haurien d'influir hipotèticament, però, en aquest moment es pot examinar l'ús d'aquests connectors.

"L'aproximació de 4. 7. L'arribada de 1 rebrà nombrosos alleugeriments per aquests problemes ", va dir el dissenyador líder de WordPress, Dion Hulse. "Ens enviem amb només enviar biblioteques segures per a WordPress, en qualsevol cas si utilitzem la característica o no. ".
El grup de seguretat de Drupal també va establir un informe de seguretat per a aquest problema. El que més s'ha comprovat com a crític, malgrat que el codi del centre de Drupal no es veurà influenciat. Finalment, Tom està examinant aquestes imperfeccions.

"Atesa la sorprenent criticitat per aquest tema i el calendari sobre el seu abocament, estem publicant una publicació general d'administració de la població amb precaució que possiblement va influir en els mantenidors del lloc de Drupal", va dir aquesta cooperació.

A la introducció del setmanal, es pot evitar el camwood i es pot disposar d'un codi general d'ús indegut de la població, la indefensió necessita un estat de zero dies, es dirà públicament i no s'enviarà. A més, un resultat directe és que aquests efectes varien del lloc web al lloc web, depenent de com es pot utilitzar PHPMailer, no hi ha un enfocament simple per als administradors web que alleujarà el problema sense una avaluació acurada.

Suposant que utilitzen PHPMailer de forma directa Anteriorment, el codi del seu lloc web, hauria de revisar la biblioteca de la versemblança més recent versificar tan ràpidament com si estigués descarregada. També haurien de reforçar-se també per esbrinar si, independentment del contacte, la retroalimentació, el registre i la restauració de correu electrònic del lloc, a més, els diferents tipus transmeten missatges per a l'assistència d'una interpretació indefensa de PHPMailer. A més, suposant que l'agressor de possibilitats podria informar la ubicació del remitent.

En la utilització d'un marc d'administració de substàncies que han de reforçar encara més, ponderen el seu lloc web d'ajuda per esbrinar si la seva influència s'aconsegueix juntament amb la seva configuració predeterminada. Després d'això, haurien d'avaluar aquests valors per a qualsevol En qualsevol dels mòduls de tercers alternativament els mòduls que necessiten introduir, a més, que poden utilitzar PHPMailer per si mateixos.

Deixa un comentari

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!