blogg

29 Desember 2016

PHP Mailer Liberaries Drepur vefsíðu hverrar mínútu sem þú lest ekki þessa grein

/
Posted By

A incredulous fjarlægur kóða framkvæmd varnarleysi gert PHPMailer, standout meðal mossycup eik almennt nýtt PHP tölvupóst sendibókum, gæti stillt milljónir vefsvæða Í hættu frá krafa reiðhestur.

The ófullkomleika gæti hafa fundist Toward Öryggis sérfræðingur sem heitir Dawid Golunski Hvað er meira að byrja að festa gæti hafa verið tekin í PHPMailer 5. 2. 18, sem gæti verið losað á laugardag. Hins vegar kemur í ljós að patavium gæti hafa verið ófullnægjandi. Enn fremur gæti farið framhjá.

PHPMailer bókasafnið má nýta sérstaklega til skiptis með vísbendingu. Að lokum lesa umtalsverða fjölda innihaldseftirlits efnahags ramma (CMSs) þar á meðal WordPress, Joomla Einnig Drupal. Staðurinn sem bókasafnið kann að vera ekki innifalið Fyrra, miðstöðarkóði þeirra, það verður hneigðist aðgengilegt. Um myndskreytingu Hægt er að setja sérstakan mát á annan hátt með viðbótum þriðja aðila.

Vegna þessa, þá er þessi svör svala Camwood öðruvísi byrjar með vefsíðu með vefsíðu. Til dæmis, þessi Joomla öryggis samvinnu ráðist að þeir Joomla JMail bekknum, sem fer einu sinni PHPMailer, þurfa frekari staðfestingar sett upp að setjast á nýta varnarleysi órökrétt.

Ófullkomleikinn verður hafin. Við ófullnægjandi samþykki sendanda tölvupóstfangsupplýsinga Einnig gæti verið leyft að árásarmaður muni koma í veg fyrir skelaskipanir sem gætu verið framkvæmdar á vefþjóninum í stilling sendimail verkefnisins.

Hins vegar brýtur mikla misnotkun á nálægð vefveislu á vefsíðunni sem starfsmenn PHPMailer vilja senda skilaboð leyfir einnig að senda inn sérsniðna sendanda tölvupóstsstað - staðsetningin sem virðist í tölvupósti hausnum. Það er ekki sanngjarnt hvernig reglubundnar slíkar stillingar eru, á almennum vefskynjun koma sendandinn tölvupóstur fyrirfram. Einnig skulu bestu leyfisveitendur eiga upplýsingar um netfangið sitt á sama hátt og styrkþegi.

"Allar blettir í miðjunni Joomla API, sem sendi póstur, noti sendanda heimilisfangið sem sett er í heimsvísu. Enn fremur er ekki talið að upplýsingar um viðskiptavini ættu að vera staðsettur annars staðar," sagði Joomla öryggisamstarfið. "Hins vegar eru viðbætur sem pakka Aðgreina aðlögun PHPMailer til skiptis ekki nýttu Joomla API með sendu tölvupósti, gæti tækifæri til að vera varnarlaust ætti þetta mál. ".
The WordPress forritarar komu á sambærilegan niðurstöðu og tóku eftir eigin bugleiðara að innri wp_mail () vinnan sem notuð var að nota WordPress miðkóðann má ekki hafa áhrif á það nýtir ekki kraftalaus PHPMailer einkenni. Tvíþáttar viðbætur sem nota wp_mail () á áhrifaríkan hátt ætti ekki að hafa áhrif á það, heldur er einnig hægt að hafa áhrif á svigrúm til sérstakra viðbætur.

"Að nálgast 4. 7. 1 komu mun halda fjölmörgum léttir fyrir þessi mál, "sagði WordPress leiðarhönnuður Dion Hulse. "Við erum lögð inn með öruggum bókasöfnum fyrir WordPress - í öllum tilvikum ef við notum einkennin eða ekki. ".
Drupal öryggishópurinn setti einnig fram öryggisskýrslu fyrir þetta mál. Enn fremur var það köflóttur sem gagnrýninn, þrátt fyrir að Drupal miðstöðin muni ekki hafa áhrif á það. Að lokum metur Tom þá ófullkomleika.

"Í ljósi ótrúlegrar gagnrýni fyrir þetta mál og tímasetningu um losun við útgáfu, þá erum við að gefa út almenna gjöfargögn með varúð, hugsanlega haft áhrif á Drupal vefhalda," sagði samstarfið.

Á inngangsþáttum er ekki hægt að fá aðgang að almennum misnotkunarkóða. Þessar varnarleysi þurfa núllástand - það er vísað til og unpatched opinberlega. Ennfremur bein afleiðing þessara áhrifa breytilegt frá vefsíðunni til vefsíðu, að treysta á hvernig PHPMailer má nota, það er ekki einfalt nálgun fyrir vefstjóra að létta málið án vandlega matar.

Að því gefnu að þeir nýta PHPMailer einfaldlega áður en kóða vefsvæðisins, þá ætti það að endurskoða bókasafnið af nýjustu patchcord-útgáfunni eins fljótt og unnt er. Þeir ættu frekar að styrkja hvort þeir komast að því hvort sem er á tengiliðum þeirra, endurgjöf, skráningu, endurstillingu tölvupósts. Ennfremur eru mismunandi gerðir sendar skilaboð til þess að aðstoða við varnarlausan flutning PHPMailer. Það er meira að segja gert ráð fyrir að möguleiki ágreiningur gæti haft upplýsingar um sendanda tölvupóstsstað.

Á þeirri nýtingu efnisumsjónarmiðja sem þeir ættu að efla enn frekar hjálparvefinn á því að reikna út hvort það hafi áhrif á sig við hliðina á sjálfgefna skipulagi. Eftir að þeir ættu að meta þá sveifla fyrir einhverju Á hvaða þriðja aðila viðbætur má til skiptis mát sem þeir þurfa að kynna Einnig sem gætu notað PHPMailer á eigin spýtur.

Skildu eftir skilaboð

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!