Blog

29 Dec 2016

PHP троян Liberaries сайтты ар бир мүнөтүн сиз бул макаланы окуп эмес, киши мерт кетти

/
Posted By

Бир ишенимдеш алыскы коду аткаруу коргоосуз кылган PHPMailer, жалпысынан PHP электрондук китепканаларды жөнөтүп колдонулушу mossycup эмен арасында standout хакердик доомат келген коркунучту сайттардын миллиондогон коюуга мүмкүн.

кемчилик An коопсуздук боюнча адис Dawid Golunski деген бир баштап катталган эмне PHPMailer 5 киргизилген болушу мүмкүн ченинде табылган болушу мүмкүн. 2. ишемби бошотууга болор 18. Бирок, patavium Мындан тышкары, сымап, беришсин жетишсиз болушу мүмкүн экен.

PHPMailer китепкана атайын чырмалыша Акыры Том олуттуу мазмуну ылдам окутулуп менен экономиканын негиздерин жетектеген колдонулушу мүмкүн (CMSs), анын ичинде WordPress, Joomla Ошондой эле Drupal. китепкана бөлүмүн ачуу киргизилген эмес болушу мүмкүн жер мурда, алардын борбор коду, ал өзүнчө сынак чырмалыша үчүнчү жактын кошумчалардай кошуу менен пакеттелген мүмкүн мисал жөнүндө жеткиликтүү жакын болот.

Буга байланыштуу, ал кемчилик менен оой camwood сайты менен сайты менен баштап айырмаланып турат. Мисалы, ошол Joomla коопсуздук кызматташтык PHPMailer бир жолу көз каранды адамдар Joomla JMail класс, коргоосуз пайдаланып, логикасыз үстүнө коюп кошумча далилдөөлөрүнө керек деп чечишкен.

кемчилик жөнөтүүчү электрондук почта дареги маалымат insufflate кабыл мамиле Ошондой эле кылмышкер уктурган долбоордун жагдайда WEB Server боюнча өлүм жазасына тартылышы мүмкүн номиналдык буйруктарын күчкө берет уруксат алган башталат.

Бирок, улуу кыянат сайтында желе көрүнүшү да жакын милдеттендирет PHPMailer Ошондой эле салт, жөнөтүүчү почта жайгашкан киргизүү уруксаттар билдирүүлөрдү жөнөтө турган жумушу - электрондук почта баш тартып көрүнөт жайгашкан. жалпысынан желе көрүнүшү жөнөтүүчү почта Ошондой эле мыкты уруксат кардарлар алдын ала маалымат, алардын электрондук почта бир пайда катары сыяктуу дареги керек алып өзүнүн эмес, акыл-эстүү Дайыма ушундай тарам болуп саналат.

"Жөнөтүү борбору Joomla API Бардык тактар ​​дүйнөлүк орнотуу белгиленген жөнөтүүчүнүн дареги Мындан тышкары кардарлардын маалымат кокустан башка жайгашкан болушу керек эмес, пайдаланууга," Joomla коопсуздук боюнча кызматташуу бир отчет үчүн айтты. "Бирок, кезеги PHPMailer боюнча айырмалоо байыр алууну иретке салынган Joomla жөнөтүү менен API мүмкүнчүлүгү коргоосуз калганын мүмкүн пайдалануу эмес, бул маселе керек. ".
WordPress иштетүүчүлөр WordPress борбору кодексине карата колдонулган ички wp_mail () жумуш алсыз PHPMailer өзгөчөлүккө колдоно албаса, ал ага таасирин тийгизген эмес болушу мүмкүн, алардын өз мүчүлүштүктөрдү трекер белгилеп, An салыштырмалуу жыйынтыкка келген. Үчүнчү тарап wp_mail колдонуу плагиндер () натыйжалуу гипотетикалык да таасир бере ге эмес, атап айтканда, плагиндер менен оой экспертиза боюнча азыркы учурда болушу мүмкүн эмеспи.

"Жакындап 4. 7. 1 келүү бул маселелер боюнча көп сандаган жардам өткөрөт ", WordPress коргошун дизайнер Дион Hulse билдирди. "Биз жөн гана WordPress үчүн коопсуз китепканаларын жөнөтүү менен берилиши жатасыз - биз мүнөздүү же жок пайдаланган болсо, кандай учурда. ".
Drupal коопсуздук тобу да Drupal борбору коду Акыр-аягы, Том ошол тукум ылдам таасир эткен жок болот карабастан, дагы эле бул оор текшерилет Эмнеге бул маселе үчүн коопсуздук отчет белгиленген.

"Бул маселени чечүү үчүн кереметтүү criticality жана анын агып биз, балким, Drupal сайт тейлөөчү таасир этияттык менен бир жалпы калктын башкаруу адабиятты чыгаруу жөнүндө убактысы эске алып," ал айтты.

киришүү аянтчасынын camwood тоготпой жана жалпы калктын колдонуу кодексинин керек болушу мүмкүн, ошол коргоосуз нөл күндүк статусун керек - бул ачык айтылган жана unpatched болот. Мындан тышкары, түздөн-түз натыйжасы ошол таасир сайт сайт чейин өзгөрүп турат, PHPMailer кандайча пайдаланылышы мүмкүн таянган, кылдат баа бербей туруп маселени арылтат Webmasters үчүн жөнөкөй ыкма эмес, бар.

Алар утилдештирүү PHPMailer ачык Мурда деп болжонот, алардын сайт коду, алар акыркы patchcord китепкана сыяктуу тез эле анын кайра заряддалышы мүмкүн эле versify кылдаттык менен карап чыгышы керек. Алар мындан ары да өз сайттын байланышка кандай учурда же жокпу, билип бекемдөө керек, пикир, каттоо, электрондук почта Мындан тышкары ар кандай түрлөрү да бир мүмкүнчүлүгү токтоп маалымат ошол жөнөтүүчү почта жайгашкан колунан көп киришип эмне PHPMailer бир коргоосуз котормого да жардам кабарларды жеткирүүгө кайра.

алар пайдалануу боюнча бир зат башкаруу структурасы, алар мындан ары да анын өзүнүн демейки орнотуу менен бирге уткан таасиринен же чыгып сүрөттө боюнча жардам сайты таразалап бекемдөө керек. Андан кийин алар ар кандай үчүнчү тарап плагиндер учурда ар кандай адамдарга ууланып эшектер керек кезеги менен, алар өз алдынча PHPMailer тийиши мүмкүн болгон, ошондой эле киргизилген керек деп модулдары.

Таштап Жооп

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!