ブログ

29 12月 2016

PHPのメーラーLiberariesがこの記事を読んでいない分毎にウェブサイトを殺す

驚くべきリモートコード実行は無防備ですPHPMailer、mossycupオークの中で傑出した、PHPメール送信ライブラリを広く利用しています。ハッキングを主張することからハザードで数百万のサイトを設定する可能性があります。

不完全さが発見された可能性があります。セキュリティー専門家Dawid Golunski氏に向かってPHPMailer 5に組み込まれた可能性があるのは何ですか? 2。 18は土曜日に退院した可能性があります。 しかし、パタビウムが不十分である可能性があることが判明しました。

PHPMailerライブラリは、具体的には暗黙的に利用されることもあります。最終的に、TomはWordPress、Joomla、Drupalなどの重要なコンテンツのOversaw Economic Frameworks(CMS)を閲覧しています。 ライブラリが含まれていない可能性がある場所以前はセンターコードだったので、アクセスが困難になりました。図については、別のモジュールをサードパーティ製のアドオンと交互にパッケージすることができます。

このため、これらの欠陥の動揺カムウッドはウェブサイトからウェブサイトを始める点で異なります。 たとえば、Joomlaのセキュリティ協力では、一度PHPMailerに依存するJoomla JMailクラスには、無防備な非合理性を利用して追加の検証を設定する必要があります。

不完全さが開始され、送信者の電子メールアドレス情報が拒否されます。また、攻撃者がsendmailプロジェクトの設定でWebサーバー上で実行される可能性のあるシェルコマンドを注入する可能性もあります。

しかし、大きな濫用は、PHPMailerがメッセージを送信する雇用者のウェブサイト上のウェブ表現の近傍に義務付けられています。また、カスタム送信者の電子メール位置を入力することも許可します。 そのような規則がどのように規則的であるのか、それは一般的にウェブ表現では、送信者の電子メールをあらかじめ定義しておくことも合理的ではありません。

Joomlaのセキュリティ協力関係者は、「メールを送信する中央のJoomla APIのすべてのスポットは、世界的な設定で設定された送信者アドレスを利用する」と述べている。 しかし、PHPMailerの差別化されたアダプテーションをパックするエクステンションは、Joomla APIを利用せずに送信メールを送信すると、この問題が発生した場合、無防備になる可能性があります。 "
WordPressの開発者は、自分のバグトラッカーが、WordPressのセンターコードに利用されている内部のwp_mail()の仕事が、無力なPHPMailerの特徴を利用していないということに影響していないことに気づいたという比較結論に達しました。 wp_mail()を効果的に使用するサードパーティのプラグインは、いずれも影響を受けないと仮定しなければなりませんが、特定のプラグインへの動揺は現在検討中です。

"近づいてくる4。 7。 1の到着はこれらの問題のための多数の救済を保持するでしょう "とWordPressのリードデザイナーのDion Hulseは言いました。 「WordPress用の安全なライブラリを出荷して提出しています。 "
Drupalのセキュリティグループも同じようにこの問題のセキュリティレポートを出しました。Drupalのセンターコードは影響を受けませんが、Tomはその不完全さを熟読していますが、さらに重要なものとしてチェックしました。

「この問題の致命的な臨時性とその解消の時期を考えれば、一般的な人口管理の出版物を発行している可能性があり、おそらくDrupalのサイト保守担当者に影響を与えた」と述べた。

入門的な和解に際し、カムウッドはバイパスされ、一般的な人口の悪用コードが利用可能になるかもしれないが、その無防備さはゼロ日の状態を必要とする。それは公然と言及されパッチされない。 さらに、その効果はWebMailerがどのように使用されるかに依存して、ウェブサイトごとに異なる結果になります。ウェブマスター向けの簡単な方法ではないので注意深い評価なしに問題を解決します。

以前はPHPMailerを使用していたと仮定していましたが、以前はWebサイトのコードでは、直近のパッチコードのライブラリーを迅速に解読する必要がありました。 彼らはさらに、サイトの連絡先、フィードバック、登録、電子メールのリセットについて何かを理解する必要があります。さらに、PHPMailerの無防備な援助のためのメッセージを伝えます。

それらの利用について、物質管理の枠組みは、さらに助長されなければならない。 その後、彼らはそれらの動揺を黙って判断しなければなりません。サードパーティのプラグインでは、導入する必要のあるモジュールを交互に切り替えます。PHPMailerを単独で使用する可能性もあります。

GTranslate Your license is inactive or expired, please subscribe again!