blog

29 Rhagfyr 2016

PHP Mailer Liberaries Yn lladd gwefan bob munud nad ydych yn darllen yr erthygl hon

Gwnaeth anhygoel anghyfreithlon anghyfreithlon ar waith i wneud PHPMailer, a oedd yn sefyll ymhlith y dderw mwsogl yn cael ei ddefnyddio'n eang llyfrgelloedd anfon e-bost PHP yn fras, A allai osod miliynau o safleoedd Mewn perygl rhag hawlio hacio.

Efallai y bydd yr anffafriwyd wedi dod o hyd Toward arbenigwr diogelwch o'r enw Dawid Golunski Beth sy'n fwy efallai y byddai'r ateb cyntaf wedi'i gynnwys yn PHPMailer 5. 2. 18, a allai fod wedi'i ryddhau ar ddydd Sadwrn. Fodd bynnag, mae'n ymddangos nad yw'r patavium wedi bod yn annigonol Ar ben hynny efallai y bydd yn osgoi.

Gellir defnyddio'r llyfrgell PHPMailer yn benodol yn ôl yn ail trwy awgrymiad Yn y pen draw, mae Tom yn perfformio cynnwys nifer sylweddol yn goruchwylio fframweithiau economi (CMSs) gan gynnwys WordPress, Joomla Hefyd Drupal. Y lle na ellir cynnwys y llyfrgell Yn flaenorol, bydd eu cod canolfan, bydd yn agored i niwed Yn ddarllediad o ran darlunio Gellir modiwlu modiwl ar wahân yn ail gydag adchwanegiadau trydydd parti.

Oherwydd hyn, mae camwood sway y fflamiau hynny'n wahanol i ddechrau ar y wefan gyda'r wefan. Er enghraifft, dywedodd y cydweithrediad diogelwch Joomla hynny y bydd y dosbarth Joomla JMail, sy'n dibynnu ar unwaith ar PHPMailer, angen sefydlu dilysiadau ychwanegol sy'n ymgartrefu ar fanteisio ar y diffyg anffafriol.

Bydd yr amherffeithrwydd yn cael ei gychwyn Toward i dderbyn gwybodaeth e-bost yr anfonwr yn ddi-dor Hefyd gellid caniatáu i asiantydd rannu gorchmynion cregyn y gellid eu gweithredu ar y gweinydd gwe yn y lleoliad y prosiect sendmail.

Fodd bynnag, mae cam-drin mawr yn gorfodi cyffiniau gwefeddiad gwe ar y wefan y bydd cyflogau PHPMailer yn anfon negeseuon hefyd yn caniatáu mewnosod lleoliad e-bost anfonwr arferol - y lleoliad sy'n ymddangos yn y pennawd e-bost. Nid yw'n rhesymol pa mor gyson yw'r ffurfweddiadau o'r fath, ar amlygrwydd cyffredinol y we yn dod â'r e-bost anfonwr ymlaen llaw Hefyd dylai cleientiaid trwyddedau gorau roi gwybodaeth am eu cyfeiriad e-bost Yn yr un modd fel Buddiolwr.

"Mae pob apwyntiad yn y ganolfan Joomla API sy'n anfon post yn defnyddio'r cyfeiriad anfonwr a osodir yn y setliad byd-eang. Nid yw'n ystyried y dylai gwybodaeth y cleient gyfle i gael ei leoli mewn man arall," meddai cydweithrediad diogelwch Joomla am adroddiad. "Fodd bynnag, estyniadau pa becyn Nid yw addasiad gwahaniaethol o PHPMailer yn ail yn defnyddio'r Joomla API gydag e-bost anfon efallai y bydd cyfle i fod yn ddi-amddiffyn pe bai'r broblem hon. ".
Cyrhaeddodd y datblygwyr WordPress gasgliad cymharol, gan nodi na ellir dylanwadu ar y gwaith wp_mail () mewnol sy'n cael ei ddefnyddio Toward y cod canolfan WordPress na ddylai effeithio ar y nodwedd PHPMailer heb rym. Ni ddylai plug-ins trydydd parti sy'n defnyddio wp_mail () yn effeithiol gael ei ddylanwadu naill ai'n ddamcaniaethol, ond efallai y bydd y sway at plug-ins arbennig ar gael ar hyn o bryd dan arholiad.

Msgstr "Y 4 agosáu. 7. Bydd cyrraedd 1 yn dal llawer o ryddhad ar gyfer y materion hyn, "dywedodd y dylunydd WordPress, Dion Hulse. "Rydym ni'n cael eu cyflwyno gyda llyfrgelloedd diogel yn unig ar gyfer llongau WordPress - mewn unrhyw achos, os ydym yn defnyddio'r nodwedd neu beidio. ".
Yn yr un modd, nododd grŵp diogelwch Drupal adroddiad diogelwch ar gyfer y mater hwn. Mae mwy o wirionedd yn hanfodol, er gwaethaf y ffaith na fydd y cod canolfan Drupal yn cael ei ddylanwadu Yn y pen draw, mae Tom yn amharu ar y diffygion hynny.

"O ystyried y beirniadaeth anhygoel ar gyfer y mater hwn a'r amseriad ynglŷn â'i ryddhau rydym yn cyhoeddi Cyhoeddiad gweinyddu poblogaeth gyffredinol gyda rhybuddiad o bosibl wedi dylanwadu ar gynnalwyr safle Drupal," meddai'r cydweithrediad hynny.

O ran y setliad rhagarweiniol, dylid osgoi camwood a gall cod camddefnyddio poblogaeth gyffredinol fod ar gael, y mae angen statws di-ddiwrnod i'r rhai hynny sydd heb ddiogelwch - bydd yn cael ei gyfeirio'n gyhoeddus ac yn unpatched. At hynny, mae canlyniad uniongyrchol yn amrywio o'r wefan i'r wefan, gan ddibynnu ar sut y gellir defnyddio PHPMailer, nid oes dull syml ar gyfer gwefeistri gwe i leddfu'r mater heb asesiad gofalus.

Gan dybio eu bod yn defnyddio PHPMailer yn syml Yn flaenorol, cod eu gwefan, dylent ailwampio llyfrgell y patchcord diweddaraf yn cyfateb mor gyflym Yn yr un modd â'i ryddhau. Dylent gynyddu ymhellach hefyd p'un ai ar gyfer cyswllt, adborth, cofrestriad, ailosodiad e-bost y wefan Ar wahân, mae mathau gwahanol yn cyfleu negeseuon am y cymorth hynny o wrthrychiad digartrefedd gan PHPMailer Beth sy'n fwy tybio y gallai Ymosodwr posib wybodaeth am leoliad e-bost yr anfonwr hwnnw.

Ar eu bod yn defnyddio fframwaith gweinyddu sylweddau, dylent fwrw ymlaen ymhellach i bwyso a mesur gwefan ei gymorth ar y ffigur p'un a oedd ei ddylanwad wedi ei chlinio ochr yn ochr â'i set ddiofyn. Ar ôl hynny, dylent ofyn i'r rhai hynny gael eu defnyddio ar gyfer unrhyw Fodlyfrau trydydd parti ar wahān sydd angen eu cyflwyno Hefyd, a allai ddefnyddio PHPMailer ar eu pen eu hunain.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!