blogo

29 Dec 2016

PHP Mailer Liberaries Mortigas retejon ĉiun minuton, ke vi ne legis ĉi tiun artikolon

/
Posted By

Nekredema malproksima kodo ekzekuto sendefenda farita PHPMailer, standout inter la mossycup kverko vaste uzis retpoŝtajn retpoŝtajn bibliotekojn de PHP, povus starigi milionojn da ejoj En danĝero de petado de piĉetado.

La neperfekteco povus esti trovita Laŭ sekureca specialisto nomata Dawid Golunski Kio pli da ekkuro povus esti korpigita en PHPMailer 5. 2. 18, kiu povus esti liberigita saturday. Tamen, ĝi rezultas, ke la patavio eble estis netaŭga. Plue eble preterpasi.

La PHPMailer-biblioteko povas esti uzata specife alterne per implikaĵo Eventuale Tom perfortas gravan numeron enhavo kontrolis ekonomiajn kadrojn (CMS) inkluzive de WordPress, Joomla Ankaŭ Drupalo. La loko, kiun la biblioteko ne povas esti inkluzivita Antaŭe, ilia centra kodo, ĝi estos klinata alirebla Koncernaj ilustradoj. Alia modulo alternate povus esti pakita per triaj aldonoj.

Pro ĉi tio, tiuj kampanjaj kampoj diferencas ekde retejo kun retejo. Ekzemple, tiu Joomla-sekureca kunlaboro diktis, ke tiuj Joomla JMail-klaso, kiu dependas unufoje de PHPMailer, bezonas ekstrajn validajn starigojn, kiuj ekpluas la senleĝan senfinecon.

La neperfekteco komenciĝos Proksimume akcepti la retpoŝtadreson-informon. Ankaŭ povus permesi atakanton infundi ŝandajn komandojn, kiuj povus esti ekzekutitaj en la servilo en la agordo de la sendmail-projekto.

Tamen, granda misuzo devigas tiujn najbarecon de TTT-demonstracio en la retejo, kiun uzoj PHPMailer sendos mesaĝojn. Ankaŭ permesas enmeti lokan retpoŝton-lokan lokon - la lokon, kiu ŝajnas en la retpoŝta titolo. Ĝiaj ne regulaj kiom regulaj tiaj agordoj estas, ĝenerale, retejaj demonstracioj alportas la sendintan retpoŝton antaŭdifinitan Ankaŭ plej bonajn permesojn al klientoj devas informi sian retpoŝton Simile kiel Beneficanto.

"Ĉiuj lokoj en la centro Joomla API, kiuj sendas retpoŝton, uzas la sendinstrukciojn en la tutmonda instalinstrukciojn. Plie ne konsideras klient-informoj, eble okazas en aliaj lokoj", diris la sekureca kunlaboro pri Joomla. "Tamen, etendoj, kiuj pakas Aplikebla adapto de PHPMailer alternate ne utiligas la Joomla API per senda retpoŝto eble eble sendefenda devus ĉi tiu afero. ".
La programistoj de WordPress alvenis al konkreta konkludo, notante sian propran cimon-trakon, kiun la interna wp_mail () funkciis Pro la WordPress-centra kodo eble ne influas ĝin, ĝi ne uzas la senpagan PHPMailer-karakterizaĵon. Tria kromprogramo, kiu uzas wp_mail () efike devas hipoteze ne influi ĉu, tamen la ŝvelaĵo al aparta kromprogramo povas esti nuntempe ekzamenita.

"La alproksimiĝanta 4. 7. 1-a alveno havos multajn reliefojn por ĉi tiuj aferoj, "diris la direktoro de WordPress, Dion Hulse. "Ni submetiĝas kun simple sendaj sekuraj bibliotekoj por WordPress - en ajna kazo, se ni uzas la karakterizaĵon aŭ ne. ".
La grupo de sekureco de Drupalo ankaŭ elsendis Sekurecan raporton por ĉi tiu afero Kio pli kontrolis ĝin kiel kritika, malgraŭ la fakto ke la Drupalo-centra kodo ne estos influita Eventuale Tom perfortas tiun difekton.

"Donita la mirindan kritikecon por ĉi tiu afero kaj la tempon pri ĝia malŝarĝo, kiun ni publikigas publikan administradon pri publika administrado kun singardeco eble influis la subtenantojn de Drupalo," diris tiuj kunlaboroj.

Sur la enkonduka instigo, ke camwood estu preterpasita kaj ĝenerala populacio pri misuzo povas esti disponebla, tiuj sendefendaj bezonoj nula tago - ĝi estos publike raportita kaj senpaga. Plie, rekta rezulto, tiuj efikoj varias de retejo al retejo, dependante de kiel PHPMailer povas esti uzata, ne simpla aliro por retpaĝistoj liberigos la aferon sen zorgema takso.

Supozante, ke ili uzas PHPMailer rekte Antaŭe, la kodon de ilia retejo, ili devas revizii la bibliotekon de la plej freŝa patĉordo kontrasti tiel rapide Simile kiel ĝia malŝarĝo. Ili devas plifortigi ankaŭ ĉu pri kio ajn por la kontakto, retpoŝto, registrado, retpoŝta retpoŝtaĵo de sia retejo. Pliaj malsamaj specoj transdonas mesaĝojn por tiuj helpoj de sendefenda prezento de PHPMailer Kio pli supozas, ke ebleco atentanto povus informi tiujn sendilistojn.

Sur ilia uzado de substanca administra kadro ili pli plue strebas pezigi sian helpon-retejo, ĉu ĝia influo kliniĝis apud ĝia antaŭfaŭlta instalinstrukciado. Post tio ili devas azenigi tiujn, kiuj bezonas por ajna ajn kroma kromaĵa kroma modulo, kiun ili bezonas enkondukitaj Ankaŭ, kiuj povus uzi PHPMailer laŭ si mem.

Lasi Respondon

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!