blog

29 Jan 2016

PHP Mailer befettet Webside alle minuten dy't jo dit artikel net lêze

/
Pleatst troch

In ûnfergonklike ferfangende koade útfiering foar defensearjen makket PHPMailer, in standert ûnder de mossykekjach ynbreidde PHP-e-post-biblioteken te brûken, kinne miljoenen sitten sette yn gefaar fan it beweechjen fan hacking.

De ympulking koe wierskynlik wêze Troch in feiligens-spesjalist nammentlik Dawid Golunski Wat is in begjinpunt dat mooglik yn PHPMailer 5 yndrukt wurde kin. 2. 18, wat moandei opjûn wiene. It docht lykwols dat it patavium miskien net maklik wêze koe.

De PHPMailer-biblioteek kin spesjaal brûkt wurde troch ymplikaasje. Earst Tom is it ferneatigjen fan in wichtige nûmere ynhâld fan oertsjûge ekonomyske ramten (CMS's) wêrûnder WordPress, Joomla ek Drupal. It plak dat de biblioteek miskien net yngietet, foardat har sintraal koade tagelyk berikke is oer berikken. In aparte modul kin ôfwikselje mei tafoegings fan tredden.

Hjirtroch binne dizze flaaks fan 'e kammeren ôfwikend begjin mei webside mei webside. Sa hawwe Joomla-feiligens-gearwurking diktearre dat dy Joomla JMail-klasse, hokker ienris PHPMailer hinget, needsaaklike ekstra jildingen dy't opsetten hawwe op it útwurkjen fan 'e defenselessness lûdsyk.

De ûnferskilling sil ynsteld wurde Trochôfgean fan akseptearjen fan e-postadres-ynformaasje kinne ek tagong krije dat in oplosser sil shellbehearders ynfiere dy't op de webserver ynfierd wurde kinne yn it ynstellen fan it sendmail-projekt.

Allinich in grutte misbrûk ferplichtet de wiere omstreeks fan in web manifestaasje op 'e webside dat de wurken PHPMailer berjochten ferstjoere. Fierder fergiftiget it ynstellen fan in e-mail-lokaasje fan stjoerder - de lokaasje dy't yn it e-postkant is. It is net reden foar hoe regelmjittich soksoarte konfiguraasjes binne, oer algemien web manifestaasjes bringe de e-mailtafel foarôfgeand te meitsjen. Bêste fergese kliïnten moatte harren e-mailadres ynformearje lykas in beneficiary.

"Alle spots yn it sintrum Joomla API dy't e-post stjoere, brûke it adres fan stjoerder yn 'e wrâldwide ynstelling. Fierder beskôgje jo dat client-ynformaasje net in kâns wêze moat op oare plakken," sei de gearwurking fan Joomla foar in rapport. "De útwreidingen dy 't packen De ôfwikseling fan PHPMailer fersiferje, ferlykje de Joomla-API net mei it ferstjoeren fan e-post, kin dizze kâns in kâns hawwe om defenslos te wêzen. ".
De WordPress-ûntwikkelders kamen by in ferlykjend konklúzje, mei't op it eigen bug tracker dat it ynterne wp_mail () -wize brûkt waard nei de WordPress sertifikaat koe net beynfloede wurde, brûkt de macht sûnder PHPMailer-karakter. Tredde plug-ins dy't wp_mail () effektyf hat hypothetysk net beynfloedzje, mar de wize fan bepaalde plug-ins kin op dit stuit ûnder ûndersyk wêze.

"De oanwêzige 4. 7. 1-komst sil in protte relief foar dizze problemen hâlde, "sei WordPress-ûntwerper Dion Hulse. "Wy binne yntsjinne mei gewoan feilichheidsbiblioteken foar WordPress - yn elk gefal foar as wy it karakteristyk brûke of net. ".
De feiligens-groep Drupal liket ek in feiligensrapport foar dit probleem. Wat mear as kritiearret, hoewol de drupal sintrumskoade net beynfloedet is, úteinlik Tom's perfeart dy ûnferskieding.

"Troch de prachtige kritearia foar dit probleem en de timing oer syn ûntliening binne wy ​​útjaan In algemiene befolking fan publike bestjoer mei in foarsichtigens dy't ynfloed hat op Drupal site-ûnderhâlders", sei de gearwurking.

Op de ynliedende siedzje kammer wurde oerwûn en algemiene befolking missy-koade kin beskikber wêze, dy defensinnichheid nedich is nul-dei status - it sil publisearre wurde en ûnpost. Fierder is in direkt resultaat dat effekt fan webside nei webside ôfwikend, hoe't PHPMailer brûkt wurde kin, is net gewoan oanwêzich foar webmaster's dy't it probleem sûnder in soartfâldige evaluaasje ferliede sil.

Tink derom dat se PHPMailer rjochtfeardich brûke, eartiids de koade fan har webside, se moatte de biblioteek fan 'e nijste patchcord sa gau mooglik fertsjinje lykas it útsteld is. Se soene fierder stypje ek út te finen oft op elk foar har kontaktpersoan, feedback, registraasje, e-mail opnij fertsjinje. Fierder ferskate types soargje foar berjochten foar dy helpferliening fan in defensearjende opjefte fan PHPMailer Wat mear oanbelanget dat in mooglikheidskeakelder kin de e-postadres ferstjoere.

Op it gebrûk meitsjen fan in substansjele ramtramt, moatte se fierder ophelje fan har help-webside om te sjen oft syn ynfloed opnommen is neist syn standertynstelling. Dêrnei moatte se dejinge dy't op elkoar oansette At elkenien fan elke plug-ins-ôfmjittings modules dy't se nedich binne ynfierd Ek ek wat PHPMailer sels brûke kin.

GTranslate Your license is inactive or expired, please subscribe again!