블로그

29 12월 2016

PHP 메일러 Liberaries가 웹 사이트를 죽일 때마다이 기사를 읽지 마라.

/
에 의해 게시 됨

엄청난 원격 코드 실행으로 무방비 상태로 진행되는 PHPMailer는 mossycup 오크에서 널리 사용되며 PHP 이메일 전송 라이브러리를 광범위하게 사용하며 해킹 주장으로 인해 위험에 처한 수백만 개의 사이트를 설정할 수 있습니다.

불완전 성이 발견되었을 수도 있습니다. Dawid Golunski라는 보안 전문가를 향해서 PHPMailer 5에 더 많은 초기 수정 사항이 통합되었을 수 있습니다. 2. 18, 토요일에 퇴원했을 수도 있습니다. 그러나 patavium이 부적절했을 수도 있습니다.

PHPMailer 라이브러리는 특히 암시 적으로 교대로 활용 될 수 있습니다. 결국 Tom은 WordPress, Joomla, Drupal 등 상당 수의 컨텐트를 감독하는 경제 프레임 워크 (CMS)를 사용하고 있습니다. 라이브러리가 포함되지 않은 장소 이전에는 센터 코드 였으므로 액세스가 어려웠습니다 그림과 관련하여 별도의 모듈을 타사 애드온과 번갈아 가며 패키징 할 수 있습니다.

이로 인해 웹 사이트와 웹 사이트를 시작으로 그 결함의 흔들림 캠 우드가 다릅니다. 예를 들어, Joomla 보안 협업은 PHPMailer에 의존하는 Joomla JMail 클래스가 무방비 상태의 비논리적 인 방법을 활용하여 추가 검증을 설정해야한다고 규정했습니다.

불완전 함이 시작될 것입니다. 보낸 사람 전자 메일 주소 정보의 불합리한 수용을 향해서 또한 공격자가 sendmail 프로젝트의 설정에서 웹 서버에서 실행될 수있는 쉘 명령을 주입하도록 허용 할 수 있습니다.

그러나 위대한 학대는 PHPMailer가 메시지를 보낼 고용인 웹 사이트의 웹 표현의 주변에 의무를 부과합니다. 또한 전자 메일 헤더에서 보이는 위치 인 사용자 지정 보낸 사람 전자 메일 위치를 입력 할 수 있습니다. 그것의 합당하지 않은 규칙적인 그런 윤곽이 인 방법은, 일반적으로 웹 발현에 미리 정의한 발신인 전자 우편을 가져온다 또한 제일 허용 클라이언트는 그들의 이메일 주소를 정보해야한다 수혜자와 유사하게.

Joomla 보안 협력은 보고서를 통해 "메일을 보내는 센터 Joomla API의 모든 지점은 전 세계 설정에서 설정된 발신자 주소를 활용합니다. 클라이언트 정보가 다른 곳에 위치 할 수있는 기회를 고려하지 않습니다. "하지만, PHPMailer의 차별화 된 적용을 번갈아 제공하는 확장 프로그램은 Joomla API를 활용하지 않고 이메일을 보내면이 문제가 발생할 경우 무방비 상태로 빠질 수 있습니다. ".
WordPress 개발자들은 자신의 버그 추적기에서 워드 프레스 센터 코드에 사용되는 내부 wp_mail () 작업이 무력한 PHPMailer 특성을 활용하지 않는다는 사실에 영향을받지 않을 것이라고 지적하면서 비교 결론에 도달했습니다. wp_mail ()을 효과적으로 사용하는 써드 파티 플러그인은 가상으로 영향을 미치지 않아야하지만 특정 플러그인에 대한 영향은 현재 검토 중일 수 있습니다.

"접근하고있는 4. 7. 1 도착은 이러한 문제에 대한 수많은 구제책을 마련 할 것입니다. "WordPress 수석 디자이너 인 Dion Hulse는 말했습니다. "우리는 WordPress 용 보안 라이브러리를 출하 한 상태로 제출됩니다. ".
드루팔 (Drupal) 보안 그룹도 마찬가지로이 문제에 대한 보안 보고서를 작성했습니다. Drupal 센터 코드가 영향을받지는 않지만, 더 중요한 것은 무엇입니까? 결국 톰은 이러한 불완전 함을 인식합니다.

Drupal 사이트 관리자에게 영향을 미칠 수있는 조심성있는 일반 인구 통계지 발행을 발행하고있다.

소개 침착 camwood 우회하고 일반 인구 오용 코드를 사용할 수 있습니다, 그 defenselessness 제로 데이 상태가 필요합니다 - 그것은 공개적으로 언급 및 패치되지 않습니다. 또한 직접적인 결과는 웹 사이트에서 웹 사이트에 이르기까지 PHPMailer가 어떻게 사용될 수 있는지에 따라 달라 지므로 웹 마스터를위한 간단한 접근 방식은 신중한 평가 없이는 문제를 해결할 수 없습니다.

그들이 PHPMailer를 사용한다고 간단히 가정 할 때 이전에는 웹 사이트의 코드를 사용하여 최신 패치 코드의 라이브러리를 최대한 빨리 수정해야합니다. 그들은 사이트의 연락처, 피드백, 등록, 이메일 재설정에 대해 무엇이든지 파악할 수 있어야합니다. PHPMailer의 무방비 지원에 대한 메시지를 전달하는 또 다른 유형은 가능성이있는 가해자가 발신자 이메일 위치를 알 수 있다고 가정합니다.

그것들의 이용에있어서 물질 관리 프레임 워크는 더 도움이되는 것은 도움 웹 사이트가 그 기본 설정과 함께 영향을 받았는지 여부를 결정하는 데 도움이됩니다. 그 후에 그들은 그것을 받아 들여야합니다. 어떤 써드 파티 플러그인이든간에, 그들이 필요로하는 모듈을 번갈아 제공합니다. PHPMailer를 독자적으로 사용할 수도 있습니다.

댓글을 남겨주세요.

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!