blog

29 december 2016

A PHP Mailer Liberaries megöli webhelyét minden percben, hogy nem olvasta ezt a cikket

Hitetlenkedő távoli kódfuttatás a védekezést végző PHPMailer, a standok között a mossycup tölgy széles körben használt PHP e-mail küldő könyvtárak, Lehet beállítani több millió helyszín A veszélyt a követelés hackelés.

A tökéletlenség talán a Dawid Golunski nevű biztonsági szakértő felé fordult. A PHPMailer 5-ban a kezdeti javítás is beilleszthető. 2. 18, amely szombaton már lemerült volna. Azonban kiderül, hogy a patavium esetleg nem megfelelő. Továbbá megkerülhet.

A PHPMailer könyvtárat kifejezetten váltakozva használhatják. Végül Tom jelentős számú tartalomfelügyeleti keretrendszert (CMS) tartalmaz, köztük a WordPress, a Joomla és a Drupal is. Előfordulhat, hogy a könyvtár nem tartalmazza a helyét. Korábban a központi kódjuk hozzáférhető lesz. Az illusztrációt illetően Egy külön modulot felváltva harmadik féltől származó kiegészítőkkel lehet csomagolni.

Ennek következtében ezek a hibák fellángolják a camwood honlapján kezdődő weboldalon. Például azok a Joomla biztonsági együttműködések diktálták, hogy azok a Joomla JMail osztályok, amelyek egyszersmind a PHPMailer-től függenek, szükségessé válnak olyan kiegészítő érvényesítésekre, amelyek a védekezés kizsákmányolásának rendezését megoldják.

A tökéletlenség megkezdődik A feladó e-mail cím információinak elégtelensége felé történő elfogadása Továbbá lehetővé teheti, hogy egy támadó beadja a shell parancsokat, amelyek a sendmail projekt beállításánál végrehajthatók a webszerveren.

Azonban a nagyszerű visszaélés kényszeríti a webes megnyilatkozás szomszédságát a weboldalon, hogy a PHPMailer alkalmazások üzenetet küldhessenek. Ezenkívül lehetővé teszi az egyéni feladó e-mail helyének megadását is - az a hely, amely az e-mail fejlécében látható. Nem ésszerű, hogy milyen rendszeres ilyen konfigurációk vannak, általában az internetes megnyilatkozásoknál a feladó e-mailjét előre definiálják. A legjobb engedéllyel rendelkező ügyfeleknek is tájékoztatniuk kell az e-mail címüket.

"A postai küldemények középpontjában lévő összes postafiók a világszerte beállított küldői címet használja fel. Továbbá nem veszi figyelembe, hogy az ügyfélinformációnak máshol kell lennie," mondta a Joomla biztonsági együttműködés egy jelentésért. "Azonban a kiterjesztések, amelyek csomagolás A PHPMailer differenciálódási alkalmazkodása felváltva nem használja fel a Joomla API-t küldési e-mail használatával, esély arra, hogy ez a probléma védtelen legyen. „.
A WordPress fejlesztõi megérkeztek Egy összehasonlító következtetésre jutottak, és megjegyezték saját hibakeresõjüket, hogy a wp_mail () munkája a WordPress irányító központja irányában nem befolyásolja, nem használja az erõteljes PHPMailer karakterisztikát. A wp_mail () hatékonyan alkalmazott hipotetikusan alkalmazott harmadik féltől származó bővítmények nem befolyásolják sem a hatását, de a konkrét bővítmények hatása jelenleg vizsgálat alatt áll.

"A közeledő 4. 7. Az 1 érkezés számos megkönnyebbülést jelent ezekre a kérdésekre "- mondta Dion Hulse, a WordPress vezető tervezője. "Csak a hajózás biztonságos könyvtárait küldjük el a WordPresshez - mindenképpen, ha kihasználjuk a jellemzőt vagy sem. „.
A Drupal biztonsági csoport hasonlóan megfogalmazza a biztonsági jelentést a probléma szempontjából. Mi több, mint kritikusnak tekintettük, annak ellenére, hogy a Drupal központ kódját nem befolyásolja. Végül Tom tisztázza ezeket a tökéletlenségeket.

"Tekintettel a kérdésre és a mentesítésre vonatkozó ütemezésre, kiadjuk az általános lakossági közigazgatási kiadványt, amely óvatosan befolyásolta a Drupal helyszíni fenntartóit" - mondta az együttműködés.

A bevezető letelepedési bódé megkerülése és az általános lakossági visszaélések kódja elérhetővé válik, a védelemre szorulóknak nulla napos státusszal kell rendelkezniük - nyilvánosan hivatkozni fognak, és nem lesznek szabadalmaztatva. Továbbá a közvetlen eredmény, hogy az effektus a weboldalról a weboldalra változik, a PHPMailer használatára támaszkodva, nincs egyszerű megközelítés a webmesterek számára, gondos mérlegelés nélkül oldja meg a problémát.

Feltételezve, hogy a PHPMailer kihasználása egyszerűen korábban, a honlapjuk kódját, meg kell javítani a könyvtár a legfrissebb patchcord verseng a gyors Hasonlóan, mint a lemerült. További erõfeszítéseket kell tenniük arról is, hogy a weblapjukon való kapcsolattartás, visszajelzés, regisztrálás, e-mail visszaállítás esetén bármi más is közvetít-e üzeneteket a PHPMailer védtelen kiadásának támogatása miatt. Abban az esetben, ha feltételezik, hogy egy lehetséges támadó információval szolgálhat azoknak a küldő e-mail címének.

Ha felhasználják az anyagadminisztrációs kereteket, akkor tovább kell erősíteniük a súgó webhelyét, és meg kell találniuk, hogy befolyásolja-e az alapértelmezett beállítás mellett. Ezután meg kellene becsülniük azokat a változásokat, amelyek bármelyik harmadik féltől származó plug-inekhez váltakozva modulokat tartalmaznak, amelyeket be kell vezetniük, amelyek szintén használhatják a PHPMailert.

GTranslate Your license is inactive or expired, please subscribe again!