blog

29 Desember 2016

Pembaca PHP Mailer Membunuh situs web setiap menit Anda tidak membaca artikel ini

Sebuah ketidakpercayaan eksekusi kode tak beralasan yang dilakukan PHPMailer, yang menonjol di antara oos lumut banyak memanfaatkan perpustakaan pengirim email PHP, Mungkin membuat jutaan situs dalam bahaya dari mengklaim hacking.

Ketidaksempurnaan mungkin telah ditemukan Menuju Seorang pakar keamanan bernama Dawid Golunski Apa lagi perbaikan awal yang mungkin telah dimasukkan dalam PHPMailer 5. 2. 18, yang mungkin habis hari Sabtu. Namun, ternyata patavium mungkin tidak memadai. Selanjutnya mungkin bisa dilewati.

Perpustakaan PHPMailer dapat dimanfaatkan secara khusus secara bergantian dengan implikasinya. Akhirnya Tom meneliti sejumlah besar kerangka kerja ekonomi yang mengawasi konten (CMSs) termasuk WordPress, Joomla Juga Drupal. Tempat perpustakaan mungkin tidak termasuk Sebelumnya, kode pusat mereka, itu akan cenderung diakses Mengenai ilustrasi Modul terpisah secara bergantian dapat dikemas dengan add-ons pihak ketiga.

Karena ini, mereka yang goyah goyangan berbeda mulai dengan situs web dengan situs web. Misalnya, kerja sama keamanan Joomla tersebut mendiktekan bahwa kelas Joomla JMail itu, yang bergantung sekali pada PHPMailer, memerlukan pengaturan validasi tambahan yang menetap untuk mengeksploitasi ketidakberdayaan yang tidak logis.

Ketidaksempurnaan akan dimulai Menuju penerimaan yang tidak memadai dari informasi alamat pengirim email Juga dapat memungkinkan penyerang akan menanamkan perintah shell yang mungkin dijalankan pada server web dalam pengaturan proyek sendmail.

Namun, penyalahgunaan yang besar mewajibkan orang-orang di sekitar manifestasi web di situs web yang mempekerjakan PHPMailer akan mengirim pesan Juga memungkinkan memasukkan lokasi email pengirim khusus - lokasi yang tampak di dari header email. Tidak masuk akal bagaimana konfigurasi reguler seperti itu, pada umumnya manifestasi web membawa email pengirim yang telah ditetapkan. Juga, klien dengan izin terbaik harus memberikan informasi alamat email mereka dengan cara yang sama sebagai penerima.

"Semua titik di pusat API Joomla yang mengirim email menggunakan alamat pengirim yang ditetapkan dalam pengaturan di seluruh dunia. Selain itu, tidak mempertimbangkan informasi klien harus ditempatkan di tempat lain," kata kerja sama keamanan Joomla untuk sebuah laporan. Namun, ekstensi yang paket Adaptasi yang berbeda dari PHPMailer secara bergantian tidak memanfaatkan API Joomla dengan mengirim email mungkin kesempatan untuk tidak berdaya jika masalah ini. “
Pengembang WordPress tiba di Sebuah kesimpulan komparatif, mencatat pada pelacak bug mereka sendiri bahwa kerja internal wp_mail () yang digunakan Menuju kode pusat WordPress mungkin tidak terpengaruh pada itu tidak memanfaatkan karakteristik PHPMailer yang tak berdaya. Plug-in pihak ketiga yang menggunakan wp_mail () secara efektif seharusnya secara hipotetis tidak berpengaruh juga, namun goyangan untuk plug-in tertentu mungkin saat ini sedang diperiksa.

“4 yang mendekat. 7. Kedatangan 1 akan memberikan banyak bantuan untuk masalah ini, ”kata perancang utama WordPress, Dion Hulse. “Kami hanya mengirimkan pustaka aman pengiriman untuk WordPress - dalam hal apa pun jika kami menggunakan karakteristik tersebut atau tidak. “
Kelompok keamanan Drupal juga menetapkan Laporan keamanan untuk masalah ini. Terlebih lagi mengeceknya sebagai kritis, meskipun fakta bahwa kode pusat Drupal tidak akan terpengaruh. Akhirnya Tom meneliti ketidaksempurnaan tersebut.

"Mengingat kekritisan yang luar biasa untuk masalah ini dan waktu tentang pembebasannya kami mengeluarkan publikasi administrasi populasi umum dengan hati-hati mungkin dipengaruhi pengelola situs Drupal," kata kerja sama tersebut.

Pada permulaan camwood menetap dilewati dan kode penyalahgunaan populasi umum mungkin tersedia, mereka tidak membutuhkan status zero-day - itu akan secara terbuka disebut dan unpatched. Selain itu, hasil langsung dari efek tersebut bervariasi dari situs web ke situs web, bergantung pada bagaimana PHPMailer dapat digunakan, tidak ada pendekatan sederhana untuk webmaster akan meringankan masalah tanpa penilaian yang cermat.

Dengan asumsi bahwa mereka menggunakan PHPMailer dengan lugas Sebelumnya, kode situs web mereka, mereka harus merombak perpustakaan patchcord terbaru dengan cepat seperti pada saat habis. Mereka harus lebih lanjut memperkuat juga mencari tahu apakah pada apa pun untuk kontak situs mereka, umpan balik, pendaftaran, email reset Selanjutnya berbagai jenis menyampaikan pesan untuk bantuan dari rendering yang tak berdaya dari PHPMailer Apa lagi dengan asumsi bahwa Seorang penyerang kemungkinan bisa informasi lokasi email pengirim tersebut.

Pada mereka memanfaatkan kerangka administrasi substansi, mereka seharusnya terus memperkuat situs web bantuannya untuk mengetahui apakah keputusannya sesuai dengan penyiapan defaultnya. Setelah itu mereka harus menilai goyangan itu untuk siapapun. Pada plug-in pihak ketiga mana pun yang perlu diperkenalkan juga yang mungkin menggunakan PHPMailer sendiri.

GTranslate Your license is inactive or expired, please subscribe again!