ब्लॉग

29 दिसम्बर 2016

PHP मेलर लाइब्रेरीज़ हर मिनट वेबसाइट को मारता है जिसे आप इस लेख को नहीं पढ़ते हैं

/
द्वारा प्रकाशित किया गया था

एक अविश्वसनीय रिमोट कोड निष्पादन defenselessness PHPMailer किया है, mossycup ओक के बीच एक असाधारण व्यापक रूप से PHP ईमेल भेजने पुस्तकालयों का उपयोग किया, खतरों में दावा करने से लाखों साइटों सेट हो सकता है।

अपूर्णता हो सकती है कि दाविद गोलनस्की नामक एक सुरक्षा विशेषज्ञ के पास PHPMailer 5 में एक प्रारंभिक फ़िक्स शामिल हो सकता है। 2। 18, जो शनिवार को छुट्टी दी गई हो सकती है। हालांकि, यह पता चला है कि पैटवियम अपर्याप्त हो सकता है इसके अलावा बाईपास हो सकता है।

PHPMailer लाइब्रेरी का विशेष रूप से निहितार्थ द्वारा वैकल्पिक रूप से उपयोग किया जा सकता है आखिरकार टॉम की वर्डप्रेस, जूमला भी ड्रूपल समेत एक महत्वपूर्ण संख्या सामग्री ओवरवॉ इकोनॉमी फ्रेमवर्क (सीएमएस) का उपयोग करना। उस स्थान को लाइब्रेरी में शामिल नहीं किया जा सकता है, पहले, उनके केंद्र कोड, यह चित्रण के बारे में सुलभ हो जाएगा एक अलग मॉड्यूल वैकल्पिक रूप से तीसरे पक्ष के एड-ऑन के साथ पैक किया जा सकता है।

इसके कारण, उन दोषों के राजमार्ग कैमवुड वेबसाइट के साथ वेबसाइट के साथ शुरू होते हैं। उदाहरण के लिए, उन जूमला सुरक्षा सहयोग ने संकेत दिया कि उन जूमला जेमेल क्लास, जो एक बार PHPMailer पर निर्भर करता है, को अतिरिक्त मान्यताओं की आवश्यकता होती है जो असुरक्षितता को अयोग्यता का शोषण करने पर व्यवस्थित होती हैं।

अपरिपक्व प्रेषक ईमेल पते की जानकारी को स्वीकारने के लिए शुरू किया जाएगा। इसके अलावा, एक हमलावर शेल कमानों को लागू करेगा जो वेब सर्वर पर प्रेषण मेल प्रोजेक्ट की सेटिंग में लागू हो सकते हैं।

हालांकि, महान दुर्व्यवहार वेबसाइट पर एक वेब अभिव्यक्ति के आसपास के क्षेत्र को बाध्य करता है कि नियोक्ता PHPMailer संदेश भेजेगा, एक कस्टम प्रेषक ईमेल स्थान इनपुट करने की अनुमति देता है - वह स्थान जो ईमेल हेडर से दिखाई देता है। यह उचित नहीं है कि आम तौर पर वेब अभिव्यक्तियों पर नियमित रूप से वेब अभिव्यक्तियां कैसे भेजी जाती हैं, प्रेषक ईमेल को पूर्वनिर्धारित करती है, इसके अलावा सर्वश्रेष्ठ अनुमति ग्राहकों को उनके ईमेल पते की जानकारी देना चाहिए जैसे कि लाभार्थी।

जूमला सुरक्षा सहयोग ने एक रिपोर्ट के लिए कहा, "केंद्र में सभी धब्बे जूमला एपीआई जो मेल भेजता है, दुनिया भर में सेटअप में प्रेषक पता सेट का उपयोग करता है इसके अलावा क्लाइंट की जानकारी को कहीं और स्थित होने का मौका नहीं माना जाता है।" "हालांकि, एक्सटेंशन जो पैक करते हैं, PHPMailer का एक अलग-अलग अनुकूलन वैकल्पिक रूप से जूमला एपीआई का उपयोग नहीं करते हैं, ईमेल भेजने के साथ इस मुद्दे को असुरक्षित होने का मौका मिल सकता है। "।
वर्डप्रेस डेवलपर्स एक तुलनात्मक निष्कर्ष पर पहुंचे, अपने स्वयं के बग ट्रैकर पर ध्यान दिया कि आंतरिक wp_mail () वर्डप्रेस सेंटर कोड के लिए उपयोग किया जाने वाला काम उस पर प्रभाव नहीं डाल सकता है जो पावरलेस PHPMailer विशेषता का उपयोग नहीं करता है। तीसरे पक्ष के प्लग-इन जो wp_mail () का प्रभावी ढंग से उपयोग करते हैं, उन्हें प्रभावशाली ढंग से प्रभावित नहीं करना चाहिए, फिर भी विशेष प्लग-इन का मार्ग वर्तमान में परीक्षा में हो सकता है।

"आने वाले 4। 7। इन मुद्दों के लिए 1 आगमन में कई राहत मिलेगी, "वर्डप्रेस लीड डिजाइनर डायन हल्स ने कहा। "हम वर्डप्रेस के लिए केवल सुरक्षित पुस्तकालयों के साथ जमा कर रहे हैं - किसी भी मामले में यदि हम विशेषता का उपयोग करते हैं या नहीं। "।
इसी तरह के ड्रूपल सुरक्षा समूह ने भी इस मुद्दे के लिए एक सुरक्षा रिपोर्ट निर्धारित की है, इस तथ्य के बावजूद कि ड्रूपल केंद्र कोड प्रभावित नहीं होगा, आखिरकार टॉम ने उन अपूर्णताओं को प्रभावित किया है।

"इस मुद्दे के लिए अद्भुत आलोचना और इसके निर्वहन के बारे में समय देखते हुए हम सावधानी के साथ सामान्य जनसंख्या प्रशासन प्रकाशन जारी कर रहे हैं, संभवतः ड्रूपल साइट रखरखाव को प्रभावित करते हैं।"

प्रारंभिक निपटारे पर कैमवुड को छोड़ दिया जाना चाहिए और सामान्य आबादी का दुरुपयोग कोड उपलब्ध हो सकता है, उन रक्षाहीनता को शून्य-दिन की स्थिति की आवश्यकता होती है - इसे सार्वजनिक रूप से संदर्भित और अप्रचलित किया जाएगा। इसके अलावा, प्रत्यक्ष परिणाम उन प्रभावों से वेबसाइट पर वेबसाइट पर भिन्न होता है, इस बात पर भरोसा करते हैं कि PHPMailer का उपयोग कैसे किया जा सकता है, वेबमास्टरों के लिए कोई आसान दृष्टिकोण नहीं है, बिना सावधानीपूर्वक मूल्यांकन किए।

मान लीजिए कि वे PHPMailer का उपयोग सीधे तौर पर करते हैं, उनकी वेबसाइट का कोड, उन्हें सबसे हाल ही में पैचकॉर्ड की लाइब्रेरी को ओवरहाल करना चाहिए जैसे ही इसे छोड़ दिया जाता है। उन्हें आगे यह भी पता लगाना चाहिए कि क्या उनकी साइट के संपर्क, फीडबैक, पंजीकरण, ईमेल रीसेट के लिए जो भी हो, अलग-अलग प्रकार PHPMailer की असुरक्षित प्रतिपादन की उन सहायता के लिए संदेशों को व्यक्त करते हैं और अधिक यह मानते हुए कि एक संभावित हमलावर उन प्रेषक ईमेल स्थान की जानकारी दे सकता है।

वे एक पदार्थ प्रशासन के ढांचे का उपयोग करते हुए उन्हें अपनी सहायता वेबसाइट पर तनख्वाह करना चाहिए और यह पता चलेगा कि क्या इसकी डिफ़ॉल्ट सेटअप के साथ मिलकर प्रभावित हुआ है या नहीं। उसके बाद उन्हें किसी भी तीसरे पक्ष के प्लग-इन के वैकल्पिक रूप से उन मॉडलों को गधे चाहिए जो उन्हें शुरू करने की ज़रूरत होती है, जो कि PHPMailer का स्वयं का उपयोग कर सकते हैं।

PHP प्रशिक्षण

Get PHP Training & Certification
अब दाखिला ले

GTranslate Your license is inactive or expired, please subscribe again!