დღიური

29 Dec 2016

PHP Mailer ლიბერალები კლავს ვებ-გვერდს ყოველ წუთში, რომელსაც არ წაგიკითხავთ ეს სტატია

/
გამოგზავნილია

წარმოუდგენელი დისტანციური კოდი აღსრულების დაუცველობის გაკეთება PHPMailer, standout შორის mossycup მუხის ფართოდ გამოყენებული PHP ელ გაგზავნის ბიბლიოთეკები, შესაძლოა მითითებული მილიონობით საიტები In Hazard საწყისი აცხადებდნენ გარჩევაში.

არასრულყოფილება შეიძლება მოიძებნოს უსაფრთხოების სპეციალისტის, სახელად Dawid Golunski, რა არის უფრო დაწყებული სარეზერვო შესაძლოა ჩართული PHPMailer 5. 2. 18, რომელიც შეიძლება გათიშული შაბათი. თუმცა, აღმოჩნდა, რომ საპატავიო შეიძლება არაადეკვატური იყოს, გარდა ამისა, შეიძლება გვერდს აუვლის.

PHPMailer ბიბლიოთეკა შეიძლება გამოყენებულ იქნას კონკრეტულად მონაცვლეობით მიერ საბოლოოდ მიერ ტომ ის perusing მნიშვნელოვანი რაოდენობის შინაარსის oversaw ეკონომიკის ფარგლებში (CMSs) მათ შორის WordPress, Joomla ასევე Drupal. ბიბლიოთეკას ადგილი არ ექვემდებარება წინამორბედს, მათი ცენტრის კოდი, ის იქნება ჩართული ხელმისაწვდომი ილუსტრაცია ცალკე მოდული მონაცვლეობით შეიძლება დაფასოებული იყოს მესამე მხარის მოდელებთან.

ამის გამო, ეს ხარვეზი sway camwood განსხვავდება დაწყებული ნახვა ნახვა. მაგალითად, იმ Joomla უსაფრთხოების თანამშრომლობა ნაკარნახევია, რომ Joomla JMail- ის კლასი, რომელიც ერთხელ PHPMailer- ს განეკუთვნება, საჭიროებს დამატებით დამტკიცებას, რომელიც იცვლება დაუცველობის ალოგიკურად გამოყენებაში.

არასრულყოფილი იქნება ინიცირებული გამგზავნი ელ-ფოსტის მისამართის ინფორმაციის მიწოდებაზე და ასევე შეუძლია ნებადართოს შემსწავლელი დამნაშავე შეავსოს ჭურვი ბრძანებები, რომელიც შეიძლება განხორციელდეს ვებ-სერვერზე გაგზავნის პროექტის გარემოში.

თუმცა, დიდი შეურაცხყოფა ავალდებულებს ვებ-მანიფესტის იმ სიახლოვეს, რომლებშიც PHPMailer გააგზავნის შეტყობინებებს ასევე იძლევა საბაჟო გამგზავნის ელ-ადგილმდებარეობის მითითებას - მდებარეობა, რომელიც ჩანს ელფოსტის სათაურში. ეს არ არის გონივრული, თუ როგორ რეგულარული ასეთი კონფიგურაციები, ზოგადად, ვებ მანიფესტაციების მოუტანს გამგზავნი ელ განსაზღვრულ ასევე საუკეთესო ნებართვის კლიენტებს უნდა იცოდნენ მათი ელექტრონული ფოსტის მისამართი ანალოგიურად, როგორც ბენეფიციარი.

"ყველა წერტილში ცენტრში Joomla API, რომელიც გაგზავნის ფოსტა გამოიყენოს გამგზავნი მისამართი დადგენილი მსოფლიო რეგულაცია გარდა ამისა, არ ითვალისწინებს კლიენტის ინფორმაცია უნდა შანსი იყოს განთავსებული სხვაგან," Joomla უსაფრთხოების თანამშრომლობა განაცხადა ანგარიშში. "თუმცა, გაგრძელება, რომელიც პაკეტი Diffiate ადაპტაციის PHPMailer მონაცვლეობით არ გამოიყენოს Joomla API გაგზავნის ელ შესაძლოა შანსი იყოს დაუცველი ეს საკითხი. ".
WordPress- ის დეველოპერები მივიდნენ შედარებითი დასკვნით და აღნიშნეს, რომ საკუთარი შეცდომის ბლანკზე, რომ შიდა wp_mail () მუშაობისას გამოყენებული იქნება WordPress- ის ცენტრის კოდით, არ შეიძლება გავლენა იქონიოს მას არ იყენებს უნაღდო PHPMailer მახასიათებელს. მესამე მხარის plug-ins, რომ გამოიყენოთ wp_mail () ეფექტურად უნდა ჰქონდეს ჰიპოთეტურად არ გავლენა მოახდინა, მაგრამ sway კონკრეტული plug-ins შეიძლება იყოს ამჟამად გამოცდა.

"უახლოვდება 4. 7. XXX ჩამოსვლა ამ საკითხებზე მრავალრიცხოვან რელიეფს გამართავს ", - განაცხადა WordPress- ის წამყვანმა დიზაინერმა დიონ ჰულესმა. "ჩვენ შემოგთავაზებთ მხოლოდ გადაზიდვის უსაფრთხო ბიბლიოთეკებს WordPress- ში, თუ ჩვენ ვიყენებთ დამახასიათებელ თუ არა. ".
დრუპალური უსაფრთხოების ჯგუფი ამავდროულად ამ საკითხის უსაფრთხოების ანგარიშს ასახელებს, რაც უფრო მეტად შეამოწმა, როგორც კრიტიკულია, მიუხედავად იმისა, რომ Drupal- ის ცენტრის კოდი გავლენას არ მოახდენს საბოლოო ჯამში ტომ ამ არასრულყოფილებაზე.

"ამ საკითხთან დაკავშირებით გასაოცარი კრიტიკული დამოკიდებულების გათვალისწინებით და მისი განცალკევების დრო ჩვენ გამოვყოფთ ზოგადად მოსახლეობის ადმინისტრაციის გამოცემას სიფრთხილით, რაც გავლენას ახდენს დრუპალური საიტის გამტარებლებზე", - აღნიშნა მან.

გაცნობითი ხასიათის დასახლებულ პუნქტზე დაბლოკვა და ზოგადად მოსახლეობის ბოროტად გამოყენების კოდექსი შეიძლება იყოს ხელმისაწვდომი, იმ დაუცველობას სჭირდება ნულოვანი დღე სტატუსი - საჯაროდ მოხსენიებული და დაუყოვნებელი. უფრო მეტიც, პირდაპირი შედეგი ამ შედეგს ვებსაიტიდან ვებ-გვერდზე იცვლის, იმის შესახებ, თუ როგორ შეიძლება გამოყენებული იქნას PHPMailer, არ არის მარტივი მიდგომა ვებმასტერებისთვის, გააუმჯობესებს საკითხს ფრთხილად შეფასების გარეშე.

ვარაუდი, რომ ისინი იყენებენ PHPMailer პირდაპირ ადრე, მათი ნახვა კოდი, მათ უნდა შეიცვალოს ბიბლიოთეკა უახლესი patchcord განმარტავს, როგორც სწრაფად ანალოგიურად, როგორც მისი გაწერეს. მათ უნდა გაეცათ კიდევ უფრო გაღრმავება თუ არა მათი საიტის კონტაქტის, კავშირი, რეგისტრაცია, ელ-ფოსტის გადატვირთვა უფრო მეტი სხვადასხვა სახის შეტყობინებები PHPMailer- ის დაუცველი რენდიციის დახმარებით. რაც უფრო მეტყველებს იმაზე,

ისინი იყენებენ ნივთიერებათა ადმინისტრირების ჩარჩოებს, რაც მათ უფრო მეტად ხელს უწყობს დახმარების ვებ-გვერდს, გაერკვნენ თუ არა მისი გავლენა მოახდინა მისი ნაგულისხმევი კონფიგურაციით. მას შემდეგ, რაც მათ უნდა asses იმ sway ნებისმიერი ნებისმიერ მესამე მხარის plug-ins მონაცვლეობით მოდულები, რომ მათ უნდა გააცნო ასევე რომელიც შეიძლება გამოიყენოთ PHPMailer საკუთარი.

GTranslate Your license is inactive or expired, please subscribe again!