وبلاگ

29 دسامبر 2016

PHP Mailer Liberaries هر دقیقه وب سایت را می کشد که این مقاله را خوانده اید

/
ارسال شده توسط

پیاده سازی بی نظیر از راه دور اجرای کد امنیتی PHPMailer، یکی از برجسته ترین در میان بلوط mossycup به طور گسترده ای استفاده از پی اچ پی ایمیل ارسال کتابخانه ها، می تواند میلیون ها سایت را در خطر قرار دادن از هک کردن ادعا می کنند.

ممکن است ناقص به سمت یک متخصص امنیت به نام داوید گلونسکی برسد. در PHPMailer 5، ممکن است یک اصلاح اولیه شروع شود. 2 18، که ممکن است در روز شنبه تخلیه شود. با این حال، معلوم می شود که پاتوویوم ممکن است ناقص باشد، علاوه بر این ممکن است دور زده شود.

کتابخانه PHPMailer به طور خاص به طور متناوب به طور مفهومی مورد استفاده قرار می گیرد. در نهایت تام با داشتن محتوای قابل توجهی نظارت بر چارچوب های اقتصادی (CMS) از جمله وردپرس، جوملا و همچنین دروپال. محل کتابخانه ممکن است گنجانده نشده است. قبلا، کد مرکز آن، تمایل به در دسترس است. در رابطه با تصویر یک ماژول جداگانه به طور متناوب می تواند با افزونه های شخص ثالث بسته بندی شود.

به همين دليل، اين وبسايت با وب سايت متفاوت است. به عنوان مثال، آن دسته از همکاری های امنیتی جوملا به این معنی است که کلاس جوملا JMail، که یک بار PHPMailer بسته است، نیاز به اعتبار اضافی ایجاد کرده است که بر بهره برداری از دفاع غیرضروری تأکید دارد.

ناقض شروع به پذیرش اطلاعات آدرس ایمیل فرستنده خواهد شد همچنین می تواند اجازه دهد یک مهاجم دستورات پوسته ای را که ممکن است بر روی وب سرور در تنظیم پروژه sendmail اجرا شود، وارد کند.

با این حال، سوء استفاده بزرگ مجازات آن را در مجاورت تظاهرات وب در وب سایت که استخدام PHPMailer ارسال پیام نیز مجاز به وارد کردن یک آدرس ایمیل فرستنده سفارشی - محل که در از هدر ایمیل به نظر می رسد. این منطقی نیست که چطور تنظیمات منظم باشد، به طور کلی نمایشهای وب، ایمیل فرستنده را از پیش تعریف می کنند. همچنین بهترین مشتریان اجازه می دهند اطلاعات آدرس ایمیل خود را همانند یک مزایده دریافت کنند.

"تمام نقاط در مرکز جوملا API که ارسال ایمیل از آدرس فرستنده تعیین شده در تنظیمات سراسر دنیا به شمار می رود، علاوه بر این، اطلاعات مشتری نباید فرصتی برای جابجایی در جای دیگر باشد"، همکاری امنیتی جوملا برای گزارش صورت گرفته است. msgstr "با این حال، افزونه هایی که بسته بندی می شوند سازگاری متمایز از PHPMailer به طور متناوب از جوملا API با استفاده از ایمیل ارسالی امکان پذیر نیست، این احتمال وجود دارد که بتوان بدون آن دفاع کرد."
توسعه دهندگان وردپرس به نتیجه گیری مقدماتی رسیدند، با اشاره به ردگیر خطای خود که کار داخلی wp_mail () در کنار کد مرکزی وردپرس استفاده می شود ممکن است تحت تاثیر قرار نگیرد از ویژگی های PHPMailer بدون قدرت استفاده نمی کند. پلاگین های شخص ثالثی که از wp_mail () استفاده می کنند، به طور موثری نباید تحت تاثیر قرار بگیرند، در حالیکه ممکن است به پلاگین های خاصی در حال بررسی باشند.

دون هولس، مدیر طراحان وردپرس، گفت: "نزدیک شدن 4، 7، ورود 1 به این مسائل کمک زیادی خواهد کرد." "ما فقط با ارسال کتابخانه های امن برای وردپرس ارائه شده است - در هر صورت اگر ما از ویژگی استفاده می کنیم یا نه".
گروه امنیتی دروپال نیز چنین اظهار نظر کرده است امنیت گزارش برای این مسئله چه بیشتر آن را به عنوان مهم بررسی می شود، با وجود اینکه کد مرکزی دروپال تحت تأثیر قرار نخواهد گرفت در نهایت تام به این نقص دست خواهد یافت.

"با در نظر گرفتن بحران شگفت انگیز این موضوع و زمان بروز تخلف آن، ما انتشار عمومی اداره جمعیت را با احتیاط و احتمالا تحت تأثیر نگهبانان دروپال قرار می دهیم."

در مقطع مقدماتی کموود بایستی کنار گذاشته شود و کد سوءاستفاده عمومی مردم ممکن است در دسترس باشد، آن دسته از دفاع بدون نیاز به وضعیت صفر روز - آن را به طور عمومی به بازنویسی و بازپرداخت خواهد داد. علاوه بر این، یک نتیجه مستقیم از این اثر متفاوت است سایت اینترنتی به وبسایت، با تکیه بر اینکه چگونه PHPMailer ممکن است مورد استفاده قرار بگیرد، روشی ساده برای مدیران وب وجود ندارد که بدون ارزیابی دقیق از آن رفع شود.

فرض بر این است که آنها PHPMailer را به صورت مستقیم استفاده می کنند قبلا، their سایت اینترنتی's کد، آنها باید کلیه کتابخانه جدیدترین patchcord اصلاح به سرعت به طور مشابه به عنوان آن را تخلیه. آنها همچنین باید تقویت کنند، همچنین مشخص کنید که آیا در هر کدام از تماس های سایت، بازخورد، ثبت نام، بازنشستگی ایمیل، انواع دیگر پیام هایی را برای آن دسته از اعلان های محافظت نشده از PHPMailer ارسال می کنند. بیشتر فرض کنید که ممکن است مهاجم بتواند اطلاعات مربوط به آن مکان ایمیل فرستنده را ارائه کند.

در مورد استفاده از یک چارچوب مدیریت مواد، آنها باید بیشتر کمک کنند وب سایت کمک را وزن کنند تا مشخص شود که آیا در کنار تنظیم پیش فرض آن تأثیر داشته است یا خیر. پس از آن باید آنها را برای هر پکیج در هر پلاگین های شخص ثالث مورد بررسی قرار داد. همچنین می توانید از PHPMailer به صورت خود استفاده کنید.

پاسخ دهید

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!