Blog

29 Dezember 2016

PHP Mailer Libraries Tötet Websites jede Minute, wenn Sie diesen Artikel nicht lesen

Eine ungläubige Remote-Code-Ausführung Schutzlosigkeit PHPMailer, ein herausragender unter den Mossycup Eiche weitgehend verwendet PHP-E-Mail senden Bibliotheken, Könnte Millionen von Websites In Gefahr von Anspruch auf Hacking setzen.

Die Unvollkommenheit könnte in Richtung eines Sicherheitsspezialisten namens Dawid Golunski gefunden worden sein. Darüber hinaus könnte ein Startfix in PHPMailer 5 aufgenommen worden sein. 2. 18, das am Samstag hätte entlassen werden können. Es stellt sich jedoch heraus, dass das Patavium möglicherweise unzureichend war.

Die PHPMailer-Bibliothek kann speziell abwechselnd implizit verwendet werden Schließlich schließlich Toms durchlesen einer erheblichen Anzahl von Inhalten Wirtschaft Frameworks (CMS) einschließlich WordPress, Joomla Auch Drupal. Der Ort, an dem die Bibliothek möglicherweise nicht enthalten ist Zuvor wird ihr zentraler Code, auf den zugegriffen werden soll, zugänglich sein. Zur Veranschaulichung Ein separates Modul könnte alternativ mit Drittanbieter-Add-Ons gepackt werden.

Aus diesem Grund unterscheiden sich diese Mängel Camwood von Website mit Website beginnen. Zum Beispiel diktierte diese Joomla Sicherheitszusammenarbeit, dass jene Joomla JMail Klasse, die einmal PHPMailer benötigt, zusätzliche Validierungen benötigt, die sich darauf einstellen, die Schutzlosigkeit unlogisch auszunutzen.

Die Unvollkommenheit wird initiiert werden, um die Absender-E-Mail-Adressinformationen zu erschweren. Außerdem könnte ein Angreifer Shell-Befehle infundieren, die auf dem Webserver in der Einstellung des Sendmail-Projekts ausgeführt werden können.

Ein grober Missbrauch zwingt jedoch die Umgebung einer Web-Manifestation auf der Website, dass der Einsatz von PHPMailer Nachrichten sendet. Erlaubt auch die Eingabe eines benutzerdefinierten Absender-E-Mail-Standortes - des Ortes, der im Header der E-Mail erscheint. Es ist nicht sinnvoll, wie regelmäßig solche Konfigurationen sind, in der Regel Web-Manifestationen bringen die Absender-E-Mail vordefiniert Auch beste Erlaubnis Kunden sollten Informationen ihre E-Mail-Adresse ähnlich wie ein Begünstigter.

"Alle Spots in der zentralen Joomla-API, die E-Mails versenden, nutzen die im weltweiten Setup eingestellte Absenderadresse. Des Weiteren sollten Kundeninformationen nicht in Betracht gezogen werden", so die Joomla Security Cooperation für einen Bericht. "Erweiterungen, die eine differenzierte Adaption von PHPMailer abwechselnd nutzen, nutzen die Joomla-API mit send-E-Mail jedoch nicht, könnten eine Chance haben, bei diesem Problem wehrlos zu sein. ".
Die WordPress-Entwickler kamen zu einer vergleichenden Schlussfolgerung und bemerkten auf ihrem eigenen Bug-Tracker, dass die interne wp_mail () -Aufgabe in Bezug auf den WordPress-Center-Code davon nicht beeinflusst wird, die powerless PHPMailer-Eigenschaft nicht nutzt. Plug-Ins von Drittanbietern, die wp_mail () effektiv nutzen, sollten hypothetisch auch nicht beeinflusst werden, aber der Einfluss auf bestimmte Plug-Ins kann derzeit geprüft werden.

"Das nahende 4. 7. Die Ankunft von 1 wird für diese Probleme zahlreiche Erleichterungen bringen ", sagte WordPress-Chefdesigner Dion Hulse. "Wir senden nur sichere Bücher für WordPress - auf jeden Fall, wenn wir das Merkmal nutzen oder nicht. ".
Die Drupal-Sicherheitsgruppe hat ebenfalls einen Sicherheitsbericht für dieses Problem erstellt. Außerdem wird es als kritisch angesehen, obwohl der Drupal-Center-Code nicht beeinflusst wird. Schließlich untersucht Tom diese Unvollkommenheit.

"Angesichts der erstaunlichen Kritikalität für dieses Thema und des Zeitpunkts seiner Entlassung geben wir eine Publikation der Allgemeinen Bevölkerungsverwaltung mit Vorsicht heraus, die möglicherweise die Betreuer von Drupal-Websites beeinflusst hat", hieß es in der Kooperation.

Bei der Einführung von camwood umgangen werden und allgemeine Bevölkerung Missbrauch Code verfügbar sein kann, brauchen diese Schutzlosigkeit Zero-Day-Status - es wird öffentlich bezeichnet und ungepatcht. Darüber hinaus, ein direktes Ergebnis dieser Effekt variiert von Website zu Website, sich darauf verlassen, wie PHPMailer verwendet werden kann, gibt es keinen einfachen Ansatz für Webmaster wird das Problem ohne eine sorgfältige Beurteilung zu entlasten.

Angenommen, sie verwenden PHPMailer einfach vorher, ihre Website-Code, sollten sie die Bibliothek des neuesten Patchcord versifizieren so schnell wie seine entladen. Sie sollten weiter verbessern auch herauszufinden, ob für den Kontakt ihrer Website, Feedback, Registrierung, E-Mail zurücksetzen Darüber hinaus vermitteln verschiedene Arten Nachrichten für diese Hilfe einer wehrlosen Wiedergabe von PHPMailer Was ist mehr davon ausgegangen, dass eine Möglichkeit Angreifer könnte diese Absender E-Mail-Adresse.

Auf die Verwendung einer Substanz Verwaltung Framework sollten sie weiter wiegen ihre Hilfeseite auf herauszufinden, ob es beeinflusst neben der Standard-Setup beeinflusst. Danach sollten sie diese Sway für alle Plug-Ins von Drittanbietern alternierend Module, die sie eingeführt haben, die auch PHPMailer verwenden können.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!