Blog

29 Le 2016

PHP Mailer Liberary Touye sit entènèt chak minit ou pa li atik sa a

/
Moun ki afiche Lè

Yon enkredilite ekselan defans ekzekisyon kòd fè PHPMailer, yon exceptionnal pami mosad nan moskekup lajman itilize PHP imel voye bibliyotèk, ta ka mete dè milyon de sit Nan danje nan reklame Hacking.

Yo ka jwenn enpèfeksyon an nan direksyon yon espesyalis sekirite ki rele Dawid Golunski. Sa ki pi plis yon ranje kòmanse ta ka enkòpore nan PHPMailer 5. 2. 18, ki ta ka yo te egzeyate Samdi. Sepandan, li vire soti ke patavyom a ta ka apwopriye Anplis de sa ta ka fè iyore.

Bibliyotèk la PHPMailer ka itilize espesyalman altèrneman pa enplikasyon Evantyèlman Tom a perusing yon kontni enpòtan anpil sipèvize ekonomi kad (CMSs) ki gen ladan WordPress, Joomla tou Drupal. Kote ki nan bibliyotèk la ka pa enkli Précédemment, kòd sant yo, li pral enkli aksesib Konsènan ilistrasyon Yon modil separe apa ka pake ak twazyèm pati ajoute-ons.

Akòz sa a, sa yo kanpay defo defo diferan kòmanse ak sit entènèt ak sit entènèt. Pou egzanp, sa yo Joomla koperasyon sekirite dikte ke sa yo Joomla JMail klas, ki depann yon fwa PHPMailer, bezwen validation siplemantè mete kanpe ki rezoud sou exploiter defenselessness la lojik.

Enkonplè a pral inisye Pou okipe insufflate aksepte enfòmasyon sou imel ki nan adrès imèl la. Epitou li kapab pèmèt yon moun ki gen asirans ap pini kòmandman koki ki ta ka egzekite sou sèvè wèb la nan anviwònman pwojè sendmail lan.

Sepandan, gwo abize toupre sa yo vwazinaj nan yon manifestasyon entènèt sou sit entènèt la ke anplwaye PHPMailer ap voye mesaj tou pèmi enpòte yon koutim kourye kote adrès - kote a ki sanble nan la soti nan header imel. Li pa rezonab ki jan regilye tankou konfigirasyon yo, sou jeneralman entènèt manifestasyon pote imel la kouryèll predefini Epitou pi bon kliyan pèmi yo ta dwe enfòmasyon adrès imel yo Menm jan an tou kòm yon benefisyè.

"Tout tach nan sant la Joomla API ki voye lapòs itilize adrès la kandè mete nan konfigirasyon an atravè lemond Anplis de sa pa konsidere enfòmasyon kliyan yo ta dwe yon chans yo dwe sitiye yon lòt kote," Joomla sekirite koperasyon an te di pou yon rapò. "Sepandan, ekstansyon ki pake Yon adaptasyon différenciés nan PHPMailer variantes pa itilize Joomla API a ak voye imèl ta ka yon chans yo dwe defans yo ta dwe pwoblèm sa a. ".
Devlopè yo WordPress te rive nan yon Konklizyon konparatif, anyen sou tracker pwòp ensèk li yo ki travay nan entèn wp_mail () nan direksyon kòd la sant WordPress yo pa ka enfliyanse sou li pa itilize karakteristik la PHPMailer enpas. Twazyèm pati plòg-ins ki itilize wp_mail () efektivman dwe ipotetik pa fè enfliyanse swa, men enkyete a an patikilye plòg-ins ka kounye a anba egzamen an.

"4 nan apwoche. 7. Anrejis 1 pral kenbe anpil soulajman pou pwoblèm sa yo, "WordPress plon designer Dion Hulse te di. "Nou ap soumèt ak jis anbake bibliyotèk sekirite pou WordPress - nan nenpòt ka pou si nou itilize karakteristik la oswa ou pa. ".
Gwoup sekirite Drupal la menm jan an tabli Yon rapò sekirite pou pwoblèm sa a Ki sa ki plis tcheke li kòm kritik, malgre lefèt ke Kòd sant santral la pa pral enfliyanse Evantyèlman Tom a perusing enpèfeksyon sa yo.

"Bay kritik la etonan pou pwoblèm sa a ak distribisyon an sou egzeyat nou an, nou ap founi dokiman yo Yon piblikasyon jeneral popilasyon administrasyon ak prekosyon posib enfliyanse Drupal sit serviter," sa yo koperasyon te di.

Sou inivèsèl kanal la rezoud ka kontoune ak jeneral popilasyon move itilizasyon kòd ka disponib, sa yo defanselessness bezwen sitiyasyon zewo-jou - li pral piblikman refere yo ak unpatched. Anplis de sa, yon rezilta dirèk efè sa yo varye de sit entènèt sou sit wèb, repoze sou ki jan PHPMailer ka itilize, gen pa apwòch senp pou webmasters pral soulaje pwoblèm lan san yon evalyasyon atansyon.

Yo sipoze ke yo utilize PHPMailer dwat Précédemment, Kòd sit wèb yo a, yo ta dwe ekzamine bibliyotèk la nan patchcord ki pi resan an kòm byen vit Menm jan tou li egzeyat la. Yo ta dwe plis ranfòse tou figi konnen si wi ou non nan kèlkeswa pou kontak sit la, fidbak, enskripsyon, reset imèl Anplis de sa diferan kalite transmèt mesaj pou asistans sa yo nan yon pwononsyasyon defans nan PHPMailer Ki sa ki nan plis asepte ke yon atakan posibilite te kapab enfòmasyon moun sa yo kouryèll kote imel.

Sou yo itilizasyon yon fondasyon administrasyon sibstans yo ta dwe plis ranfòse peze sit entènèt èd li yo sou figi konnen si enfliyanse l 'yo ansanm ak konfigirasyon default li yo. Apre yo ke yo ta dwe bourik sa yo pou nenpòt ki Nan tou sa twazyèm-pati plòg-ins modil yo ke yo bezwen prezante tou ki ta ka itilize PHPMailer sou pwòp yo.

Kite yon Reply

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!