Blog

29 december 2016

PHP Mailer Liberaries Dræber hjemmeside hvert minut, du læser ikke denne artikel

/
Sendt af

En utrolig fjernbetjening af ekstern kode, der er udført, har gjort PHPMailer, en standout blandt mossycup-egnen, der i vid udstrækning anvendes php-mail-sendebiblioteker, kan sætte millioner af websteder i fare for at hævde hacking.

Ufuldkommenheden kan have været fundet Toward En sikkerhedsspecialist ved navn Dawid Golunski Hvad mere er en startfix måske blevet indarbejdet i PHPMailer 5. 2. 18, som måske er blevet afladet lørdag. Det viser sig imidlertid, at pataviet måske har været utilstrækkeligt. Desuden kan det blive omgået.

PHPMailer-biblioteket kan udnyttes specifikt skiftevis ved hjælp af implikationer. Endelig taler Tom et betydeligt antal indholdsoverskydende økonomirammer (CMS'er) inklusive WordPress, Joomla Drupal. Stedet biblioteket kan ikke medtages Tidligere, deres center kode, vil det være tilbøjelig til at blive tilgængeligt Om illustration Et separat modul kan alternativt pakkes med tredjeparts add-ons.

På grund af dette er disse fejl sway camwood forskellige fra start med hjemmeside med hjemmeside. For eksempel dikterede disse Joomla-sikkerhedssamarbejde, at disse Joomla JMail-klasser, som engang afhænger af PHPMailer, har brug for ekstra valideringer, der etablerer sig på at udnytte ulovlig forsvarsløshed.

Ufuldkommenheden vil blive indledt Mod utilfredsstillende accept af afsenderens e-mail-adresseoplysninger Også kunne tillade en angriber at infiltere shell-kommandoer, der kan udføres på webserveren i indstillingen af ​​sendmail-projektet.

Men stort misbrug forpligter den nærhed af en web manifestation på hjemmesiden at employments PHPMailer vil sende meddelelser Tillader også at indtaste en brugerdefineret afsender email placering - den placering, der forekommer i e-mail header. Det er ikke rimeligt, hvordan regelmæssige sådanne konfigurationer er, på almindeligvis web manifestationer bringer afsenderens e-mail foruddefineret. Også bedste tilladelse kunder skal informere deres email-adresse ligeledes som en modtager.

"Alle punkter i centrum Joomla API, som sender mail, bruger afsenderadressen i den globale opsætning. Desuden mener ikke, at kundeoplysninger skal have en chance for at være placeret andetsteds", sagde Joomla-sikkerhedssamarbejdet for en rapport. "Men udvidelser, som pakker En differentieret tilpasning af PHPMailer skiftevis udnytter ikke Joomla API med send email muligvis en chance for at være forsvarsløs, skal dette problem. ”.
WordPress-udviklerne ankom til en sammenlignende konklusion, der noterede sig deres egen fejltracker, at det interne wp_mail () -arbejde, der blev udnyttet mod WordPress-centerkoden, ikke kan påvirkes, når den ikke udnytter den magtesløse PHPMailer-karakteristik. Tredjeparts plug-ins, der bruger wp_mail () effektivt, burde hypotetisk heller ikke påvirke, men svingningen til bestemte plug-ins kan muligvis undersøges.

"Den nærliggende 4. 7. 1 ankomst vil holde mange lindring for disse problemer, "siger WordPress lead designer Dion Hulse. "Vi er indsendt med bare forsendelses sikre biblioteker til WordPress - i hvert fald for hvis vi udnytter karakteristikken eller ej. ”.
Sikkerhedsgruppen for Drupal har ligeledes udarbejdet en sikkerhedsrapport for dette problem. Hvad mere end har tjekket det som kritisk, på trods af at Drupal-centerkoden ikke vil blive påvirket. Endelig taler Tom den ufuldkommenhed.

"I betragtning af den fantastiske kritik for dette problem og tidspunktet for dens udledning udsteder vi en generel publikationspublikation med forsigtighed, som muligvis har påvirket Drupal site-indehavere," sagde samarbejdet.

På den indledende bosætning skal camwood omgåes, og generel misbrugskode kan være tilgængelig. Disse forsvarsløsninger har brug for nulldagsstatus - det vil blive offentligt henvist til og unpatched. Desuden er et direkte resultat, at denne effekt varierer fra websted til hjemmeside, og afhænger af, hvordan PHPMailer kan bruges, er der ikke en enkel tilgang til webmastere, der lette problemet uden en omhyggelig vurdering.

Forudsat at de udnytter PHPMailer ligefrem Tidligere, deres hjemmeside kode, de burde overhale biblioteket med den nyeste patchcord versificere så hurtigt ligeledes som det er afladet. De bør videreudvikle også at finde ud af om uanset deres websteds kontakt, tilbagemelding, registrering, e-mail-nulstilling. Desuden kan forskellige typer formidle meddelelser for at hjælpe en forsvarsløs overførsel af PHPMailer. Hvad mere antager, at en eventuel angriber kunne informere den afsenderens e-mail-adresse.

Når de anvender en stofadministrationsramme, bør de videreudvikle vejningens hjemmeside for at finde ud af, om det påvirkes ved siden af ​​standardopsætningen. Derefter burde de bedømme dem svaj for nogen. Uanset hvad tredjeparts plug-ins vekselvis moduler, som de har brug for indført også. Hvilket kan måske bruge PHPMailer på egen hånd.

Efterlad et svar

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!