blog

29 decembro 2016

PHP Mailer Liberaries Mata a páxina web cada minuto que non lea este artigo

Unha defensa incrédula de código remoto sen defensa por parte de PHPMailer, destacou entre o carballo mossycup ampliamente utilizado nas bibliotecas de envío de correos PHP. Pódese configurar millóns de sitios en risco de reclamar pirateos.

A imperfección podería atoparse cara a un especialista en seguridade chamado Dawid Golunski. O que é máis unha corrección de inicio podería ter sido incorporado en PHPMailer 5. 2. 18, que podería ter sido descargado o sábado. Non obstante, resulta que o patavio pode ser inadecuado. Por outra banda, poderiamos ignorar.

A biblioteca de PHPMailer pódese utilizar de forma específica alternativamente por implicación. Eventualmente, Tom peruse un contido numérico importante que supervisaba os marcos económicos (CMS), incluíndo WordPress, Joomla tamén Drupal. O lugar onde a biblioteca pode non estar incluída. Anteriormente, o seu código central, estará inclinado á disposición. En canto á ilustración Un módulo separado alternativamente podería ser empaquetado con complementos de terceiros.

Debido a isto, o camwood de influencia dos defectos difiere a partir do sitio web con sitio web. Por exemplo, a colaboración de seguridade de Joomla ditou que aqueles clase de Joomla JMail, que depende dunha vez PHPMailer, precisan validacións extra establecidas que se instalen na explotación da indefensión ilóxica.

Inicia a imperfección. Incluso para insuflar a aceptación da información do enderezo de correo electrónico do remitente Tamén podería permitir que un asaltante infundise ordes de shell que se puidesen executar no servidor web na configuración do proxecto sendmail.

Non obstante, o gran abuso obriga aos usuarios a proximidade dunha manifestación web na páxina web onde os empregos PHPMailer enviarán mensaxes. Tamén permite ingresar unha localización de correo electrónico remitente personalizada: a localización que aparece no encabezado do correo electrónico. Non é razoable o xeito no que as configuracións habituais son, en xeral, as manifestacións web traen o correo electrónico remitente predefinido. Tamén mellor permitir que os clientes poidan información do seu enderezo de correo electrónico de forma semellante como beneficiario.

"Todos os puntos no centro da API de Joomla que envían correo utilizan a dirección de remitente establecida na configuración mundial. Ademais, non considera que a información do cliente poida estar situada noutro lugar", dixo a colaboración de seguridade de Joomla nun informe. "Non obstante, as extensións que adquiren unha adaptación diferenciada de PHPMailer alternativamente non utilizan a API de Joomla con envío de correo electrónico, podería ter a oportunidade de estar indefenso. ".
Os desenvolvedores de WordPress chegaron a unha conclusión comparativa, observando no seu propio tracker de erros que o traballo wp_mail interno () empregado Hacia o código central de WordPress pode non estar influenciado porque non utiliza a característica PHPMailer impotente. Os complementos de terceiros que utilizan wp_mail () de forma efectiva tampouco deberían influír hipoteticamente, aínda que o control de plugins en particular pode estar actualmente baixo o exame.

"O aproximado 4. 7. A chegada de 1 manterá numerosos alivio por estes problemas ", dixo o deseñador de WordPress, Dion Hulse. "Presentámonos con só envío de bibliotecas seguras para WordPress - en calquera caso, se usamos a característica ou non. ".
O grupo de seguridade de Drupal tamén estableceu un informe de seguridade para este problema. O que máis o verificou é crítico, a pesar de que o código central de Drupal non se verá influenciado. Finalmente, Tom perde esta imperfección.

"Dada a sorprendente criticidade por este problema e o calendario sobre a descarga que estamos emitindo, unha publicación xeral da administración da poboación con precaución posibelmente influíu nos mantedores de sitios de Drupal", dixo a cooperación.

No camión de preparación introdutorio ser ignorado e o código xeral de uso indebido da poboación pode estar dispoñible, esa indefensión necesita un estado de cero-día, será referido públicamente e non gardado. Ademais, un resultado directo que o efecto varía de sitio web a sitio web, dependendo de como se poida usar PHPMailer, non hai un enfoque simple para que os webmasters alivien o problema sen unha avaliación coidadosa.

Supoñendo que utilizan PHPMailer de forma sinxela. Anteriormente, o código do seu sitio web, deberían revisar a biblioteca do parche de versións máis recente de forma tan rápida como se descargase. Deberían reforzar aínda máis averiguar se a calquera que sexa o contacto do seu sitio, a retroalimentación, o rexistro eo restablecemento do correo electrónico. Ademais, os distintos tipos de mensaxes envían mensaxes para aquelas asistencia dunha versión indefensa de PHPMailer. O que supón que un asaltante de posibilidade podería informar a localización de correo electrónico do remitente.

Na utilización dun marco de administración de sustancias, eles deberían reforzar aínda máis o seu sitio web de axuda para pescudar se a súa influencia atinxiuse xunto coa súa configuración predeterminada. Despois diso, deberían avaliar aqueles que se manteñen para calquera En todos os complementos de terceiros módulos alternativos que necesiten introducir tamén, que poderían usar PHPMailer por si mesmos.

GTranslate Your license is inactive or expired, please subscribe again!