Blog

29 Dicembre 2016

PHP Mailer Liberaries uccide il sito ogni minuto che non leggi questo articolo

/
Pubblicato da

Un'esemplificazione incredibilmente remota in esecuzione di codice in modalità remota eseguita da PHPMailer, un successo tra le librerie di invio e-mail PHP ampiamente utilizzate da PHP, potrebbe determinare milioni di siti in pericolo derivante dalla rivendicazione di hacking.

L'imperfezione potrebbe essere stata trovata Verso Uno specialista della sicurezza chiamato Dawid Golunski. Inoltre, una soluzione iniziale potrebbe essere stata incorporata in PHPMailer 5. 2. 18, che potrebbe essere stato scaricato sabato. Tuttavia, si scopre che il patavium potrebbe essere stato inadeguato, inoltre potrebbe essere aggirato.

La libreria PHPMailer può essere utilizzata in modo specifico alternativamente implicitamente. Eventualmente, Tom sta esaminando un numero significativo di quadri di supervisione dell'economia (CMS), inclusi WordPress, Joomla anche Drupal. Il posto in cui la libreria potrebbe non essere inclusa In precedenza, il loro codice centrale, sarà inclinato accessibile Per quanto riguarda l'illustrazione Un modulo separato potrebbe essere impacchettato con componenti aggiuntivi di terze parti.

A causa di ciò, il camwood di influenza di questo difetto differisce a partire dal sito Web con il sito web. Ad esempio, quelle collaborazioni di sicurezza di Joomla hanno imposto che quelle classi Joomla JMail, che dipendono da PHPMailer, necessitino di ulteriori validazioni impostate per sfruttare illimitatamente l'indifendenza.

L'imperfezione verrà avviata Verso un'assunzione insufflate delle informazioni sull'indirizzo e-mail del mittente Potrebbe anche consentire a un assalitore di infondere comandi di shell che potrebbero essere eseguiti sul server web nelle impostazioni del progetto sendmail.

Tuttavia, un grande abuso obbliga quelle vicinanze di una manifestazione web sul sito Web che gli impieghi che PHPMailer invierà messaggi Permette anche di inserire una posizione di posta elettronica del mittente personalizzato - la posizione che appare nell'intestazione dell'e-mail. Non è ragionevole la regolarità di tali configurazioni, in generale le manifestazioni Web portano l'email del mittente predefinita. Inoltre, i client che consentono di ricevere le informazioni sul loro indirizzo di posta elettronica sono i migliori possibile.

"Tutti gli spot dell'API Joomla centrale che inviano posta utilizzano l'indirizzo del mittente impostato nella configurazione mondiale Inoltre, non considera le informazioni del cliente una possibilità di trovarsi altrove", ha dichiarato la collaborazione di sicurezza di Joomla per un rapporto. "Tuttavia, le estensioni che compongono un diverso adattamento di PHPMailer in modo alternato non utilizzano l'API Joomla con l'invio di e-mail potrebbe avere la possibilità di essere indifesi in caso di questo problema. “.
Gli sviluppatori di WordPress sono arrivati ​​a una conclusione comparativa, notando sul proprio bug tracker che il lavoro interno di wp_mail () utilizzato verso il codice del centro WordPress potrebbe non essere influenzato su di esso non utilizza la caratteristica impotente di PHPMailer. I plug-in di terze parti che utilizzano in modo efficace wp_mail () non dovrebbero nemmeno essere influenzati, tuttavia l'influenza di determinati plug-in potrebbe essere attualmente all'esame.

"L'avvicinamento di 4. 7. L'arrivo di 1 avrà molti sollievo per questi problemi ", ha dichiarato Dion Hulse, lead designer di WordPress. "Siamo inviati con la sola spedizione di librerie sicure per WordPress - in ogni caso per se utilizziamo la caratteristica o no. “.
Anche il gruppo di sicurezza Drupal ha predisposto un rapporto sulla sicurezza per questo problema. Inoltre, è stato controllato come critico, nonostante il fatto che il codice centrale di Drupal non venga influenzato. Alla fine, Tom sta esaminando queste imperfezioni.

"Data la sorprendente criticità per questo problema e il momento del suo rilascio, stiamo rilasciando una pubblicazione di amministrazione generale della popolazione con cautela che potrebbe influenzare i manutentori del sito Drupal", ha detto la cooperazione.

Nel settle introduttivo camwood essere aggirato e codice di abuso generale della popolazione può essere disponibile, quelli inerme hanno bisogno di status zero-day - sarà riferito pubblicamente e senza patch. Inoltre, un risultato diretto di tali effetti varia da sito Web a sito Web, basandosi su come PHPMailer può essere utilizzato, non c'è un approccio semplice per i webmaster che allevierà il problema senza un'attenta valutazione.

Supponendo che utilizzino direttamente PHPMailer Precedentemente, il codice del loro sito Web, dovrebbero revisionare la libreria del più recente patchcord versify con la stessa rapidità con cui è stata scaricata. Dovrebbero sostenere ulteriormente anche se per qualsiasi cosa per il contatto del loro sito, feedback, registrazione, e-mail di reset Inoltre diversi tipi di messaggi per l'assistenza di una resa indifesa di PHPMailer. Cosa c'è di più supponendo che un assalitore di possibilità potrebbe informazioni su quella posizione di posta elettronica del mittente.

Quando utilizzano un framework di amministrazione della sostanza, dovrebbero rafforzare il proprio sito web di aiuto per capire se il suo influsso è stato influenzato dalla sua impostazione predefinita. Dopodiché dovrebbero valutare tutti questi effetti su qualsiasi plug-in di terze parti in alternativa moduli che devono essere introdotti. Inoltre, potrebbe utilizzare PHPMailer da solo.

Lascia un Commento

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!