Blog

29 Dez 2016

PHP Mailer Liberäre Kills Websäit all Minutt déi Dir dës Artikel net gelies hutt

Eng enkrede Remote-Code-Ausgab Verteideglos gemaach PHPMailer, ee Standout ënnert der Mossykup-Eiche breed benotzt PHP-E-Mail-Sendebibliotheken, Muecht Millioune Siten setze kënnen Gefaangene vun der Schlaach.

D'Mankooffaart ass fonnt ginn Dee Sécherheetsspezialist Dawid Golunski Wat ass e méi e Starterfixer kéint en PHPMailer 5 agebaut ginn. 2. 18, wat wahrscheinlech e Samsden gemaach huet. Allerdéngs ass et eraus datt de Patavium onnéideg genuch war. Ausserdeem kënne sech ëmgoen.

D'PHPMailer Bibliothéik kann speziell alternativ implizit genotzt ginn. Elo gëtt en Tom bedeelegt e signifikanten Zuel Inhalt fir Iwwerwaachungskameraen (CMS) wéi WordPress, Joomla och Drupal. D'Plaz déi an der Bibliothéik ka net beinhaltlech fréier De Centrécode gëtt et zougänglech zugänglich Wat d'Illustratioun e separate Modul ofwiesselnd kënne mat Dritt-Addons verpakt ginn.

Dowéinst falen dës falschen Camowel souwuel mat der Websäit mat der Websäit. Zum Beispill, dës Joomla Sécherheets Cooperatioun diktéiert datt dës Joomla JMail-Klass, déi hänkt vu PHPMailer abegraff, nach extra Validatioune festgeluegt, déi op d'Ausbezunn vun der Defenselessness illogical sinn.

D'Mankooffaafitéit gëtt initiéiert Regele fir d'Inspektioun vun den Absender E-Mailadressen Informatioun ze erméiglechen Eentwécklungsmoossnamen, déi an der Webserver am Kader vum Sendmail-Projet ausgehandelt ginn, kënne benotzen.

Allerdings ass eng grouss Missbrauch der Ëmgéigend vun enger Web Manifestatioun op der Websäit, déi d'PHPMailer beschäftegt, Messagëfroen schécken och erméiglecht eng E-Mail-Location vun der Sender ze ginn - de Standort, deen an der Email Header erscheint. Et net onbedéngt wéi regulär esou Konstellatioune sinn, iwwer generell Web Manifestatiounen bréngen de Sender E-Mail predefinéiert. Déi beschten Erléissefräi Client soll hir E-Mail Adress ähnlech wéi en Beneficiaire benotzen.

"All Spots am Zentrum Joomla API, déi E-Mail schécken, benotzt d'Absenderadressatioun an der weltwäitger Setup. De Client denkt net als Iwwergangszoustand, datt et eng aner Plaz wäert sinn", ass d'Joomla Sécherheetscooperatioun fir e Bericht. "Allerdings, Extensiounen déi packen A fir d'Adaptatioun vum PHPMailer z'ënnerscheeden alternativ d'Joomla-API net benotze mat E-Mail schécken eng Chance kéint defenslos sinn. ".
D'WordPress Entwéckler kommen zu engem vergläicht Konklusioun, Notizen op hirem eegenen Bug Tracker, datt déi intern Wp_mail () Aarbechter benotzt Am Wuert vum WordPress-Centrale Code kann net beaflosst ginn ass net benotzt d'net powerless PHPMailer-Charakteristik. Drëtt Partei Plug-Ins déi Wp_mail () effektiv Hypothetesch net entweder beaflosst ginn, awer de Schwieregkeetsbereg fir speziell Plug-Ins kann am Moment ënnert der Untersuchung sinn.

"D '4. 7. 1 Arrivée hält vill Relief fir dës Saachen "," WordPress Leaderdesigner Dion Hulse gesot. "Mir si mat séchere Secure Bibliotheken fir WordPress proposéiert - op all Fall fir wa mir d'Charakteristik benotzen oder net. ".
D'Drupal Sécherheetsgruppe huet och e Sécherheetsbericht fir dëst Thema festgehalen Wat et méi kritesch gëtt, trotz der Tatsaach datt de Drupal-Centrale Code net beaflosst gëtt Elo gëtt Tom dës Onendlechkeet leeden.

"Wann d'Iwwerraschung kritesch ass fir dës Ausgab an d'Timing vun der Entlooss eis eng Ausbezuelung eng allgemeng Populatioun Administratioun Publikatioun mat Vorsicht méiglecherweis Drupal Site Maintenance" bezeechnen.

Op den entwéckele Rettungsplang kann ëmgeleet ginn an allgemeng Populatioun Missbrauchscode kann disponibel sinn, déi Defenselessness braucht Nulltagstatus - et gëtt publizéiert an onparteiert. Ausserdeem e direktem Resultat dee Effekt schwätzt vun der Websäit op d'Websäit, iwwer déi PHPMailer benotzt kënne ginn, et ass net einfach Approche fir Webmasteren ze entlaaschten d'Thema ouni eng suergfälteg Beurdeelung.

Assuming datt se utiliséiert PHPMailer direkt viru Geriicht, de Code vu senger Websäit, si sollt d'Bibliothéik vum aktuellste Patchcord ze schnell veränneren Ähnlech wéi seng entlooss. Si sollten weider ze verstäerken och erauszefannen, ob op wat fir hir Kontakt vum Site, Feedback, Registréierung, E-Mail zrécksetzen Fierwäit verschidden Typen vermelden Nachën fir déi Hëllef vun enger defensloser Rendez vun PHPMailer Wat ass méi iwwer dat d'Méiglechkeet e Feeler vun der Sendung e-Mail Location.

Op d'Benotze vun engem Substanzveruerdnungsrahmen, déi se d'Hëllefsprogrammer weider wäschen hun, huet sech erausgestallt, ob hir beaflosseiert niewent senger Standardfaarf opgeklärt gouf. Duerno sollen déi Aschätzten fir irgendeng Ongewëss ass Wat op all Dritt-Plugins Alternativ Module déi se brauchen agefouert. Och wat kéint PHPMailer op hir selwer benotzen.

GTranslate Your license is inactive or expired, please subscribe again!