ब्लॉग

29 दिसम्बर 2016

PHP मेलर लाइब्रेरीज़ हर मिनट वेबसाइट को मारता है जिसे आप इस लेख को नहीं पढ़ते हैं

/
द्वारा प्रकाशित किया गया था

एक अविश्वसनीय रिमोट कोड निष्पादन defenselessness PHPMailer किया है, mossycup ओक के बीच एक असाधारण व्यापक रूप से PHP ईमेल भेजने पुस्तकालयों का उपयोग किया, खतरों में दावा करने से लाखों साइटों सेट हो सकता है।

डेविड गोलुस्स्की नामक एक सुरक्षा विशेषज्ञ की ओर से अपूर्णता पाई गई हो सकती है। हो सकता है कि एक शुरुआती निश्चय PHPMailer 5 में शामिल हो सकता है। 2। 18, जिसे शनिवार को छुट्टी दे दी गई हो सकती है हालांकि, यह पता चला है कि पेटीवियम शायद अपर्याप्त हो सकता है इसके अलावा यह बाईपास हो सकता है

PHPMailer लाइब्रेरी विशेष रूप से निहितार्थ के द्वारा वैकल्पिक रूप से उपयोग किया जा सकता है अंत में टॉम ने एक महत्वपूर्ण संख्या वाली सामग्री को ओवरवर्ड किया है, जिसमें वर्डप्रेस, जूमला और ड्रुपल भी शामिल हैं। जगह पुस्तकालय शामिल नहीं किया जा सकता है पहले, उनका केंद्र कोड, इसे सुलभ हो जाएगा चित्रण के संबंध में एक अलग मॉड्यूल को एकांतर से तृतीय-पक्ष ऐड-ऑन के साथ पैक किया जा सकता है

इस वजह से, वेबसाइट के साथ वेबसाइट के साथ शुरू होने पर ये दोष दोषपूर्ण हैं। उदाहरण के लिए, उन जूमला सुरक्षा सहयोग ने यह तय किया था कि उन जूमला जेमेल क्लास, जो कि PHPMailer पर निर्भर करता है, को अतिरिक्त मान्यताओं की आवश्यकता होती है, जो कि रक्षाहीनता का शोषण न करें

अपरिपक्व प्रेषक ईमेल पते की जानकारी को स्वीकारने के लिए शुरू किया जाएगा। इसके अलावा, एक हमलावर शेल कमानों को लागू करेगा जो वेब सर्वर पर प्रेषण मेल प्रोजेक्ट की सेटिंग में लागू हो सकते हैं।

हालांकि, महान दुर्व्यवहार वेबसाइट पर एक वेब अभिव्यक्ति के उन इलाके को बाध्य करता है, जो कि PHPMailer को संदेश भेजेगा नौकरियां एक कस्टम प्रेषक ईमेल स्थान को इनपुट करने की अनुमति भी देता है - स्थान है जो ईमेल शीर्ष लेख से लगता है। यह उचित नहीं है कि नियमित रूप से ऐसे विन्यास क्या हैं, आम तौर पर वेब अभिव्यक्तियां प्रेषक ईमेल को पूर्वनिर्धारित करती हैं, सबसे अच्छी अनुमति ग्राहकों को उनके ईमेल पते को भी सूचित करना चाहिए जैसा कि एक लाभार्थी

जूमला सुरक्षा सहयोग ने एक रिपोर्ट के मुताबिक, "जूमला एपीआई के सभी स्पॉट जो दुनिया भर में सेटअप में भेजे गए प्रेषक पते का उपयोग मेल भेजते हैं, इसके अलावा क्लाइंट सूचना को कहीं और स्थित होने का मौका नहीं माना जाता है।" "हालांकि, एक्सटेंशन जो पैक करने के लिए PHPMailer का एक अलग अनुकूलन वैकल्पिक रूप से जूमला एपीआई को ईमेल भेजने के साथ उपयोग नहीं करते हैं, वे इस समस्या को निराधार होने का मौका दे सकते हैं। "।
वर्डप्रेस डेवलपर्स एक तुलनात्मक निष्कर्ष पर पहुंचे, अपने स्वयं के बग ट्रैकर पर ध्यान देते हुए कि वर्डप्रेस केंद्र कोड के लिए उपयोग किए जाने वाले आंतरिक wp_mail () का काम उस पर प्रभावशाली नहीं हो सकता है, जो कि शक्तिहीन PHPMailer विशेषता का उपयोग नहीं करता है तीसरे पक्ष के प्लग-इन जो wp_mail () को प्रभावी रूप से प्रभावी रूप से प्रभावित नहीं करते हों, या तो, विशेष प्लग-इन का बोलबाला परीक्षा के तहत उपस्थित हो सकता है।

"करीब 4 7। 1 पहुंच इन मुद्दों के लिए कई राहत का आयोजन करेगा, "वर्डप्रेस लीड डिजाइनर डायोन हल्स ने कहा। "हम वर्डप्रेस के लिए केवल सुरक्षित सुरक्षित लाइब्रेरी के साथ सबमिट किए गए हैं - अगर हम इस विशेषता का उपयोग करते हैं या नहीं "।
ड्रूपल सुरक्षा समूह ने इसी तरह से इस समस्या के लिए एक सुरक्षा रिपोर्ट तैयार की है, इस तथ्य के बावजूद कि यह बहुत गंभीर है, इस तथ्य के बावजूद कि ड्रupल केंद्र कोड को प्रभावित नहीं किया जाएगा,

"इस मुद्दे के लिए आश्चर्यजनक चुनौती और इसके निर्वहन के बारे में समय दिया गया है, हम सावधानी के साथ एक सामान्य जनसंख्या प्रशासन प्रकाशन जारी कर रहे हैं, जो संभवतः डॉप्ल साइट रखरखाव को प्रभावित करता है," उन सहयोगियों ने कहा।

परिचयात्मक ठिकाने के कगार पर नजरअंदाज किया जा सकता है और सामान्य जनसंख्या दुरुपयोग कोड उपलब्ध हो सकता है, उन रक्षात्मकताओं को शून्य दिन की स्थिति की आवश्यकता होती है - यह सार्वजनिक रूप से संदर्भित और अनलिखित होगा। इसके अलावा, एक प्रत्यक्ष परिणाम यह प्रभाव वेबसाइट से वेबसाइट पर भिन्न होता है, इस बात पर निर्भर करता है कि PHPMailer कैसे उपयोग किया जा सकता है, वेबमास्टरों के लिए सरल दृष्टिकोण से सावधानीपूर्वक मूल्यांकन किए बिना समस्या को दूर किया जाएगा

यह मानते हुए कि वे सीधे PHPMailer का उपयोग करते हैं, पहले, उनकी वेबसाइट का कोड, उन्हें हाल ही में पैचक्रॉण्ड की लाइब्रेरी के रूप में जल्दी ही ठीक करना चाहिए जैसा कि इसके अवकाश के रूप में। उन्हें आगे और मजबूत करना भी पता चलेगा कि क्या उनके साइट के संपर्क, फीडबैक, पंजीकरण, ईमेल रीसेट के लिए जो कुछ भी होता है, इसके अलावा, विभिन्न प्रकारों को PHPMailer के एक निराश्रित गायन की सहायता के लिए संदेश पहुंचाता है और यह मानते हुए कि एक संभावित हमलावर उन प्रेषक ईमेल स्थान को सूचित कर सकता है।

वे एक पदार्थ प्रशासन के ढांचे का उपयोग करते हुए उन्हें अपनी सहायता वेबसाइट पर तनख्वाह करना चाहिए और यह पता चलेगा कि क्या इसकी डिफ़ॉल्ट सेटअप के साथ मिलकर प्रभावित हुआ है या नहीं। उसके बाद उन्हें किसी भी तीसरे पक्ष के प्लग-इन के वैकल्पिक रूप से उन मॉडलों को गधे चाहिए जो उन्हें शुरू करने की ज़रूरत होती है, जो कि PHPMailer का स्वयं का उपयोग कर सकते हैं।

उत्तर छोड़ दें

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!