Blog

29 Dec 2016

PHP Mailer Liberaries Бұл мақаланы оқымайтын әр минут сайын веб-сайтты өлтіреді

PHPMailer-ті қашықтан кодты орындаудың керемет әрекеті жасалды, мұсылдақ емен арасында кеңінен қолданылған PHP электрондық поштасын жіберген кітапханалар, миллиондаған сайтты бұзу туралы талап қоюдан қауіптенеді.

Кемелсіздік Давид Голунски есімді күзетшіге дейін табылған болуы мүмкін. PHPMailer 5-те тағы да бастапқы түзету енгізілген болуы мүмкін. 2. 18, ол жұма күні шығарылуы мүмкін. Дегенмен, патавиум жеткіліксіз болуы мүмкін. Сонымен қатар, айналып өтуі мүмкін.

PHPMailer кітапханасын кезекпен кезекпен қолдануға болады. Кейіннен Томның WordPress, Joomla Da Drupal сияқты үлкен сандық мазмұнды үнемділік шеңберлеріне (CMS) қарайды. Кітапхана орналастырылмаған орын Бұрын, олардың орталық коды, ол қолжетімді болады. Суреттеуге қатысты Бөлек модуль кезекпен үшінші тарап қосымша құралдарымен бірге пакеттелуі мүмкін.

Осыған байланысты, бұл кемшіліктерді веб-сайттың веб-сайтынан бастап айырмашылығы бар. Мысалы, Joomla қауіпсіздік ынтымақтастығы, PHPMailer-ке тәуелді болған Joomla JMail классы, қорғаныссыздықты логикалық пайдалану үшін шешілетін қосымша тексеруді қажет етеді.

Жіберушінің электрондық пошта мекенжайы туралы ақпараттың жетіспеуіне қарсы әрекетсіздікке жол берілмейді. Сондай-ақ, алаяқтың sendmail жобасының параметрінде веб-серверде орындалуы мүмкін қабық пәрмендерін қолдануға рұқсат етуі мүмкін.

Алайда, зорлық-зомбылық PHPMailer жұмыс істейтін веб-сайтқа веб-көріністердің жақын болуын міндеттейді. Сондай-ақ, пайдаланушы жіберушінің электрондық пошта мекенжайын енгізу мүмкіндігін береді - электрондық пошта тақырыбынан көрінетін орын. Оның әдеттегі конфигурациялары, әдеттегідей, веб-көріністерінде алдын-ала жіберілген электрондық поштаны әкеледі. Сондай-ақ, клиенттерге өздерінің электрондық пошта мекен-жайына ақпарат беруі керек. Бенефициар сияқты.

«Joomla API орталығында барлық мекенжайлар поштаны дүние жүзі қондырғысында орнатылған жіберушінің мекен-жайын пайдаланады». Сонымен қатар, клиенттің ақпаратын басқа жерде орналастыруға мүмкіндік беру керек деп есептемейді », - делінген хабарламада. «Алайда PHPMailer дифференциалды бейімделуін кезекпен орындайтын кеңейтімдер Joomla API-ды пайдаланып, электрондық поштаны жіберу арқылы бұл мәселе бойынша қорғаныссыз болуы мүмкін. «.
WordPress әзірлеушілері өздерінің қателерді қадағалаушыларына ішкі wp_mail () жұмысын қолданғанын ескере отырып, салыстырмалы қорытындыға келді WordPress орталығының кодының әсеріне әсер етпеуі мүмкін, ол әлсіз PHPMailer сипаттамасын пайдаланбайды. Wp_mail () функциясын қолданатын үшінші тарап қосылатын модульдер гипотетикалық түрде әсер етпеуі керек, бірақ қазіргі кезде белгілі бір плагиндерге әсер етуі мүмкін.

«Келе жатқан 4. 7. 1 келуі осы мәселелерге көптеген жеңілдіктер береді », - дейді WordPress жетекшісі дизайнер Дион Хульсе. «Біз WordPress үшін қауіпсіз тасымалдау кітапханалары арқылы жібердік - кез келген жағдайда сипаттаманы пайдалансаңыз немесе болмасаңыз. «.
Drupal қауіпсіздік тобы сондай-ақ осы мәселе бойынша қауіпсіздік есебін жасады. Дупал орталығының коды кейінге қалдырылмағанына қарамастан, Томның бұл жетілмегендігіне әсер етпейтініне қарамастан, оны неғұрлым маңызды деп тексерді.

«Осы мәселе үшін таңқаларлық сын тұрғысынан және оны шығару уақытын ескере отырып, халықты басқарудың басылымын әйгілі түрде жариялап, Drupal сайтты ұстаушыларға әсер етті», - деп атап өтті ынтымақтастық.

Кіріспемен айналыстағы кәмелетке толып кетуді болдырмау және жалпы халықты кәдеге жарату коды болуы мүмкін, бұл қорғаныссыздық нөлдік күн мәртебесін қажет етеді - ол ашық түрде жіберіледі және жіберілмейді. Бұдан басқа, бұл нәтиже PHPMailer-ді қалай пайдалануға болатынына сілтеме жасай отырып, веб-тораптан веб-сайтқа тікелей әсер етеді, веб-мастерлер үшін қарапайым тәсіл жоқ, мәселені мұқият бағалаусыз жеңілдетеді.

PHPMailer-ді олар тікелей қолданған деп есептей отырып, олардың веб-сайтының коды, ең соңғы патчарт кітапханасын оны тезірек ұқсастырғандай етіп қайтадан қарастыру керек. Сондай-ақ, олар сайттың байланысына, кері байланысына, тіркелуіне, электрондық поштасын қалпына келтіруге арналған кез-келген нәрселерді анықтайды. Бұдан басқа, PHPMailer бағдарламасының қорғаныссыз беруіне көмектесу үшін әр түрлі хабарлар жіберіледі.

Олар заттардың әкімшілік құрылымын пайдаланады, олар оны одан әрі күшейтіп, оның анықтама веб-торабын өлшеп, оның әдепкі параметрлері қатарына қосыла ма, жоқ па деген сұраққа жауап беру керек. Бұдан кейін олар кез келген үшінші тұлғалардың қосылатын модульдеріне кез-келген басқа модульдерде қолдануға болатындығын ескеруі керек. Сондай-ақ PHPMailer-ді өз бетімен қолдануы мүмкін.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!