Blog

29 Dec 2016

Ang PHP Mailer Liberaries Makapatay sa website kada minuto nga wala nimo mabasa kining artikuloha

/
posted Pinaagi sa

Ang usa ka incredulous remote code execution defenselessness gibuhat PHPMailer, usa ka standout sa taliwala sa mga mossycup oak lapad nga gigamit PHP email pagpadala sa mga librarya, Mahimo nga gibutang sa minilyon nga mga site Sa peligro gikan sa pag-angkon sa hacking.

Ang pagkadili hingpit mahimong nakit-an sa Usa ka espesyalista sa seguridad nga ginganlan og Dawid Golunski Unsa ang labaw nga pagsugod sa pag-ayo tingali gilakip sa PHPMailer 5. 2. 18, nga tingali gibuhian sabado. Hinuon, kini nahimo nga ang patavium tingali dili igo.

Ang PHPMailer nga librarya mahimong magamit ilabi sa alternatibo pinaagi sa implikasyon Sa kadugayan, ang Tom nagatan-aw sa usa ka mahinungdanon nga gidaghanon nga kasayuran nga nagdumala sa mga gambalay sa ekonomiya (CMS) lakip na ang WordPress, Joomla Also Drupal. Ang lugar nga wala maapil sa librarya Sa wala pa, ang ilang kodigo sa center, kini mahimo nga dali nga mahibal-an Mahitungod sa ilustrasyon Ang usa ka linain nga modulo nga alternately mahimong ibutang sa ikatulong partido nga mga add-on.

Tungod niini, nagkalainlain ang mga kahilas sa maong sayup nga nagsugod sa website nga adunay website. Pananglitan, kadtong mga Joomla nga kooperasyon sa seguridad nagdikta nga ang mga klase sa Joomla JMail, nga nag-agad sa kausa sa PHPMailer, nagkinahanglan og dugang nga mga validation nga gipahimutang nga nagpahimulos sa walay depensa nga dili makatarunganon.

Ang pagkadili hingpit ipahigayon ngadto sa insufflate nga pagdawat sa impormasyon sa email address nga nagpadala Ug mahimo usab nga tugotan ang usa ka tigpamutol nga makadaot sa mga command sa shell nga mahimong ipatuman sa web server sa paghimo sa proyekto nga sendmail.

Apan, ang dako nga pang-abuso nag-obligar sa mga palibot sa usa ka pagpakita sa web sa website nga mga trabaho nga PHPMailer magpadala mga mensahe Usab gitugutan ang pag-input sa usa ka kustomer nga email nga lokasyon - ang nahimutangan nga gikan sa email header. Ang dili makatarunganon kung unsa ka regular ang maong mga pagsagol, sa kadaghanan sa mga pagpakita sa web nga nagdala sa nagpadala nga email nga gipiho Labing maayo ang pagtugot sa mga kliyente nga kinahanglan magpahibalo sa ilang email address Sama sa Usa ka benepisyaryo.

"Ang tanan nga mga lugar sa sentro nga Joomla API nga nagpadala sa mail nga gigamit ang address nga gipadad-an nga gipahimutang sa tibuok kalibutan nga pag-setup Labaw pa niini wala maghunahuna sa impormasyon sa kliyente nga adunay kahigayunan nga mahimutang sa ubang dapit," ang Joomla nga kooperasyon sa seguridad miingon alang sa usa ka taho. "Bisan pa niana, ang mga ekstensiyon nga nagapakita sa usa ka pagpaangay sa pagpahiangay sa PHPMailer nga wala'y gigamit nga paggamit sa Joomla API uban ang pagpadalag email mahimong usa ka higayon nga mahimong dili makapanalipod kon kini nga isyu. ".
Ang mga taga-develop sa WordPress miabot sa usa ka pagtandi, nga nagpamatuod sa ilang kaugalingong bug tracker nga ang internal nga wp_mail () nga gigamit gigamit ngadto sa kodigo sa center sa WordPress nga dili maimpluwensyahan niini wala magamit ang walay gahum nga feature sa PHPMailer. Ang ikatulo nga partido nga mga plug-in nga naggamit sa wp_mail () sa epektibong paagi kinahanglan dili maimpluwensiyahan, bisan pa ang pag-aghat sa partikular nga mga plug-in mahimong anaa karon sa pagsusi.

"Ang nagsingabot nga 4. 7. Ang pag-abot sa 1 magpahigayon og daghan nga kahupayan alang niini nga mga isyu, "miingon si Dion Hulse nga namuno sa WordPress. "Gisumitahan kami nga adunay mga luwas nga luwas nga mga librarya alang sa WordPress - sa bisan unsa nga kaso kung gamiton nato ang kinaiya o dili. ".
Ang Drupal security group usab mibutang sa usa ka taho sa seguridad alang sa niini nga isyu Unsa ang labaw nga gitan-aw kini ingon nga kritikal nga, bisan pa sa kamatuoran nga ang Drupal center code dili maimpluwensya sa kadugayan Tom sa pagtuon sa mga pagkadili hingpit.

"Tungod sa talagsaon nga kritikalidad alang niini nga isyu ug ang tayming mahitungod sa pagtangtang niini kita nag-isyu sa usa ka pangkinatibuk-ang populasyon nga publikasyon sa administrasyon uban sa pag-amping nga posibleng maimpluwensyahan sa Drupal site maintainers," matud pa sa kooperasyon.

Sa pasiuna nga pagsulbad sa kamwood nga malabyan ug ang dili kasagaran nga pag-abuso sa populasyon mahimong mabatonan, ang kadtong walay panalipod nagkinahanglan og zero-day nga status - kini ipahibalo sa publiko ug unpatched. Dugang pa, usa ka direktang resulta ang epekto nagkalainlain gikan sa website ngadto sa website, nagsalig kung unsaon gamiton ang PHPMailer, wala'y yano nga pamaagi alang sa mga webmaster ang makapahupay sa isyu nga wala'y maampingong pagsusi.

Sa pag-ingon nga ang paggamit nila sa PHPMailer diretso Sa una, ang kodigo sa ilang website, kinahanglan nila nga pag-usisa sa librarya sa pinaka-bag-o nga patchcord nga nagkasumpaki nga sa susama sama sa pagpagawas niini. Gikinahanglan nga dugang nga pagpalig-on usab nga mahibal-an kung bisan unsa man alang sa pagkontak sa ilang mga site, feedback, pagrehistro, pag-reset sa email Dugang pang lain-laing mga matang ang nagpadala mga mensahe alang sa mga tabang sa usa ka walay panalipod nga rendition sa PHPMailer Unsa ang labaw nga gipasabut nga ang usa ka posibilidad nga tigpamalit mahimo nga kasayuran sa nagpadala nga email location.

Sa ilang paggamit sa usa ka substance nga pagdumala sa gambalay sila kinahanglan nga dugang nga bolstering pagtimbang sa iyang mga website sa tabang sa hunahuna kon ang iyang naimpluwensyahan nga clinched uban sa iyang default setup. Human niana sila kinahanglan nga mga asesong mga lihok alang sa bisan unsa Sa bisan unsa nga ikatulo nga partido nga mga plug-in nga alternate modules nga ilang gikinahanglan nga gipaila Usab nga mahimong mogamit sa PHPMailer sa ilang kaugalingon.

Leave sa usa ka Reply

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!