Blog

29 prosince 2016

PHP Mailer Liberaries Kills website every minute you don’t read this article

/

Nedůvěřivé bezproblémové spuštění kódu provedlo PHPMailer, standout mezi mossycup dubem široce využíval PHP posílání e-mailových knihoven, mohl nastavit miliony lokalit V nebezpečí z tvrzení hacking.

Nedokonalost mohla být nalezena směrem k bezpečnostnímu specialistovi jménem Dawid Golunski. Co je spíše počáteční oprava mohla být začleněna do PHPMailer 5. 2. 18, které mohlo být vypuštěno v sobotu. Ukázalo se však, že patavium může být nedostatečné. Dále by mohlo být obejit.

Knihovna PHPMailer může být použita speciálně střídavě implicitně. Nakonec Tom prohlédne významný počet obsahů, které dohlíží na ekonomické rámce (CMS), včetně WordPress, Joomla také Drupal. Místo, kde knihovna nemusí být zahrnutá Dříve jejich kód centra bude přístupný nakloněném. Obr. 1: Samostatný modul střídavě může být zabalen s doplňky jiných výrobců.

Kvůli tomu se tato vadná hřebínka liší od webové stránky s webovými stránkami. Například tato Joomla bezpečnostní spolupráce diktuje, že Joomla JMail třída, která záleží na PHPMailer, potřebuje další ověření nastavení, které uspokojují zneužívání bezbrannost nelogické.

Nedokonalost bude spuštěna Na nedostatečné přijetí informací odesílatele e-mailové adresy Také by mohla umožnit útočníkovi naplnit příkazy shellu, které by mohly být provedeny na webovém serveru v nastavení projektu sendmail.

Nicméně velké zneužívání ukládá okolí webového projevu na webových stránkách, že zaměstnance PHPMailer budou posílat zprávy. Umožňuje také zadání vlastní e-mailové adresy odesílatele - umístění, které se nachází v hlavičce e-mailu. Není rozumné, jak jsou tyto konfigurace pravidelné, na webových projektech obecně přináší e-mail odesílatele předem definované. Také nejlepší klienti by měli informovat svou e-mailovou adresu Podobně jako příjemce.

"Všechna místa v centru Joomla API, která posílají poštu, využívají adresu odesílatele nastavenou v celosvětovém nastavení. Kromě toho se nepovažuje informace o klientech za příležitost k umístění jinde," prohlásila bezpečnostní spolupráce Joomla. "Nicméně rozšíření, která zabalí diferenciaci přizpůsobení PHPMailer střídavě, nevyužívají Joomla API s odesílaným e-mailem šanci být bezbranní v případě tohoto problému."
Vývojáři WordPress dorazili na srovnávací závěr, přičemž si všimli svého vlastního sledovače chyb, že interní wp_mail () práce využívaná směrem ke středovému kódu WordPress nemusí být ovlivněna tím, že nepoužívá bezmocnou vlastnost PHPMailer. Moduly plug-in třetích stran, které používají wp_mail (), by se neměly hypoteticky ani ovlivňovat, přesto mohou být v současné době zkoumány zásahy do konkrétních zásuvných modulů.

"Přicházející 4.7.1 příjezd bude mít mnoho úlevy pro tyto otázky," řekl vedoucí návrhář Dion Hulse WordPress. "Jsme zasláni pouze s přepravními bezpečnými knihovnami pro WordPress - v každém případě, pokud používáme tuto vlastnost nebo ne."
Bezpečnostní skupina Drupal se také vydala Bezpečnost zpráva o tomto problému Co je víc zkontrolováno jako kritické, a to navzdory tomu, že Drupal centrum nebude ovlivněn Nakonec Tom je zkoumá tyto nedokonalosti.

"Vzhledem k úžasné kritice tohoto problému a načasování jeho vydání vydáváme publikaci o obecné správě populace s opatrností, která možná ovlivnila správce stránek Drupalu," uvedla tato spolupráce.

Na úvodní dohodě by mělo být zablokováno dřevo a může být k dispozici kód pro zneužívání obecné populace, tato bezbrannost potřebuje status nulového dne - bude veřejně označena a nezpracována. Navíc přímý výsledek se liší od tohoto účinku webová stránka na webových stránkách, spoléhat se na to, jak může být PHPMailer používán, neexistuje jednoduchý přístup pro webmastery, který zmírní problém bez pečlivého posouzení.

Za předpokladu, že využívání PHPMailer přímo Předtím, jejich webová stránkaby měli přepracovat knihovnu nejnovějšího patchcordu, jak rychle se podobně jako jeho vypouští. Měli by dále rozvíjet zjištění, zda na jakémkoli místě pro kontakt, zpětnou vazbu, registraci, obnovení e-mailu. Kromě toho různé typy vysílají zprávy o pomoci při bezpředmětném předávání PHPMaileru. Co víc předpokládá, že útočník s možností by mohl informovat o umístění odesílatele.

Při jejich využití by měl být rámec pro správu látek, který by měli dále posilovat, zvážit jeho webovou stránku nápovědy, aby zjistili, zda se její ovlivněné podepíraly vedle svého výchozího nastavení. Poté by měli posoudit ty, které mají vliv na jakoukoliv funkci. Na libovolných plug-inech třetích stran střídavě moduly, které potřebují zavést také, které by mohly používat PHPMailer samy.

Napsat komentář

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!