Blog

29 Dec 2016

PHP Mailer Liberaries Kills ເວັບໄຊທ໌ທຸກໆນາທີທ່ານບໍ່ໄດ້ອ່ານບົດຄວາມນີ້

/
ຈັດພີມມາໂດຍ

ການປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກການປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກທີ່ບໍ່ຈໍາກັດເຮັດ PHPMailer, standout ລະຫວ່າງ oak mossycup ນໍາໃຊ້ຢ່າງກວ້າງຂວາງການສົ່ງຫ້ອງສະຫມຸດອີເມວ PHP, ອາດຕັ້ງລ້ານເວັບໄຊ້ຢູ່ໃນອັນຕະລາຍຈາກການຮຽກຮ້ອງ hacking.

ຄວາມບໍ່ສົມບູນແບບອາດຈະຖືກພົບເຫັນຕໍ່ກັບຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທີ່ມີຊື່ Dawid Golunski. ມີການແກ້ໄຂເພີ່ມເຕີມກ່ຽວກັບການແກ້ໄຂເລີ່ມຕົ້ນອາດຈະຖືກລວມເຂົ້າໃນ PHPMailer 5. 2 18, ເຊິ່ງອາດຈະຖືກປະຕິເສດໃນວັນເສົາ. ຢ່າງໃດກໍ່ຕາມ, ມັນສະແດງໃຫ້ເຫັນວ່າ patavium ອາດຈະບໍ່ພຽງພໍນອກຈາກນັ້ນອາດຈະເຮັດໃຫ້ຫຼີກເວັ້ນ.

ຫ້ອງສະຫມຸດ PHPMailer ອາດຈະຖືກນໍາໃຊ້ໂດຍສະເພາະໂດຍສະຫຼຸບໂດຍການພົວພັນໃນທີ່ສຸດ Tom ຂອງ perusing ເນື້ອຫາທີ່ສໍາຄັນຈໍານວນຫນຶ່ງໄດ້ສັງເກດເບິ່ງຂອບເຂດເສດຖະກິດ (CMSs) ລວມທັງ WordPress, Joomla ຍັງ Drupal. ສະຖານທີ່ຫ້ອງສະຫມຸດອາດຈະບໍ່ໄດ້ລວມຢູ່ກ່ອນຫນ້ານີ້, ລະຫັດສູນຂອງເຂົາເຈົ້າ, ມັນຈະເຂົ້າໄປໃກ້ກັບຮູບພາບກ່ຽວກັບຮູບພາບຕົວແບບແຍກຕ່າງຫາກສາມາດຖືກຫຸ້ມດ້ວຍຕົວຕິດຕັ້ງຂອງຄົນອື່ນ.

ເນື່ອງຈາກວ່ານີ້, ຂໍ້ບົກຜ່ອງຂອງຂໍ້ບົກຜ່ອງຂອງ camwood ແຕກຕ່າງກັນເລີ່ມຕົ້ນກັບເວັບໄຊທ໌ມີເວັບໄຊທ໌. ຕົວຢ່າງ, ການຮ່ວມມືດ້ານຄວາມປອດໄພຂອງ Joomla ໄດ້ກໍານົດວ່າລະດັບ Joomla JMail, ເຊິ່ງຂຶ້ນກັບ PHPMailer, ຕ້ອງມີການກວດສອບພິເສດເພີ່ມເຕີມທີ່ກໍານົດກ່ຽວກັບການຂູດຮີດທີ່ບໍ່ສົມເຫດສົມຜົນ.

ຄວາມບໍ່ສົມບູນແບບຈະຖືກເລີ່ມຕົ້ນໄປສູ່ການຮັບເອົາຂໍ້ມູນທີ່ຢູ່ອີເມວຂອງຜູ້ສົ່ງເຂົ້າໄປໃນຂີ້ເຫຍື້ອ. ນອກຈາກນີ້ຍັງສາມາດອະນຸຍາດໃຫ້ຜູ້ກໍ່ການຮ້າຍເຂົ້າໃຈຄໍາສັ່ງຂອງ shell ທີ່ອາດຈະຖືກປະຕິບັດຢູ່ໃນເຄື່ອງແມ່ຂ່າຍເວັບໃນການຕັ້ງຄ່າໂຄງການ sendmail.

ຢ່າງໃດກໍຕາມ, ການທາລຸນອັນໃຫຍ່ຫຼວງບັງຄັບໃຫ້ບໍລິເວນໃກ້ຄຽງຂອງການສະແດງເວັບໄຊທ໌ເທິງເວັບໄຊທ໌ທີ່ມີການຈ້າງງານ PHPMailer ຈະສົ່ງຂໍ້ຄວາມຍັງອະນຸຍາດໃຫ້ເຂົ້າກັບສະຖານທີ່ອີເມວຜູ້ສົ່ງທີ່ຖືກຕ້ອງ - ສະຖານທີ່ເບິ່ງຄືວ່າຢູ່ໃນຫົວຂໍ້ອີເມວ. ມັນບໍ່ສົມເຫດສົມຜົນແນວໃດກ່ຽວກັບການຕັ້ງຄ່າແບບທົ່ວໄປແບບປົກກະຕິກ່ຽວກັບການສະແດງເວັບໂດຍທົ່ວໄປນໍາເອົາອີເມວຂອງຜູ້ສົ່ງທີ່ຖືກກໍານົດໄວ້ກ່ອນທີ່ຈະອະນຸຍາດໃຫ້ລູກຄ້າຕ້ອງການຂໍ້ມູນອີເມວຂອງພວກເຂົາເຊັ່ນດຽວກັນເປັນຜູ້ຮັບຜົນປະໂຫຍດ.

"ຈຸດທັງຫມົດທີ່ຢູ່ໃນສູນ Joomla API ທີ່ສົ່ງອີເມວນໍາໃຊ້ທີ່ຢູ່ຂອງຜູ້ສົ່ງທີ່ຕັ້ງໄວ້ໃນການຕັ້ງຄ່າທົ່ວໂລກນອກຈາກນີ້ບໍ່ໄດ້ພິຈາລະນາຂໍ້ມູນຂອງລູກຄ້າຄວນມີໂອກາດທີ່ຈະຕັ້ງຢູ່ບ່ອນອື່ນ" Joomla Security Cooperation ກ່າວວ່າສໍາລັບລາຍງານ. "ຢ່າງໃດກໍຕາມ, ສ່ວນຂະຫຍາຍທີ່ຊອງການປ່ຽນແປງທີ່ແຕກຕ່າງຂອງ PHPMailer ສະລັບກັນບໍ່ໄດ້ນໍາໃຊ້ Joomla API ທີ່ສົ່ງອີເມວອາດຈະມີໂອກາດທີ່ຈະເປັນຜູ້ປ້ອງກັນບໍ່ວ່າຈະເປັນບັນຫານີ້."
ນັກພັດທະນາ WordPress ໄດ້ເຂົ້າມາຢູ່ໃນການສະຫລຸບການສົມທຽບ, ໂດຍອ້າງອີງໃສ່ການຕິດຕາມຕົວບົ່ງຊີ້ຂອງຕົນເອງວ່າການໃຊ້ wp_mail () ພາຍໃນຂອງຄອມພິວເຕີ້ໃຊ້ຕໍ່ກັບລະຫັດສູນ WordPress ອາດບໍ່ໄດ້ຮັບຜົນກະທົບຈາກມັນບໍ່ໄດ້ໃຊ້ຄຸນສົມບັດ PHPMailer ທີ່ບໍ່ມີອໍານາດ. ໂປແກຼມຜູ້ໃຊ້ທີ່ໃຊ້ໂປແກຼມທີ່ໃຊ້ wp_mail () ຢ່າງມີປະສິດທິພາບບໍ່ຄວນເຮັດໃຫ້ມີຜົນກະທົບຢ່າງໃດກໍ່ຕາມ, ປະເຊີນຫນ້າກັບ plug-ins ໂດຍສະເພາະແມ່ນຢູ່ພາຍໃຕ້ການກວດສອບ.

"ການມາຮອດ 4 7 1 ທີ່ຈະມາເຖິງຈະຊ່ວຍບັນເທົາບັນຫາເຫຼົ່ານີ້ໄດ້ຫລາຍ", ຜູ້ອອກແບບນໍາໂດຍ WordPress Dion Hulse ກ່າວວ່າ. "ພວກເຮົາກໍາລັງສົ່ງກັບພຽງແຕ່ຈັດສົ່ງຫ້ອງສະຫມຸດທີ່ປອດໄພສໍາລັບ WordPress - ໃນກໍລະນີໃດກໍ່ຕາມຖ້າພວກເຮົາໃຊ້ລັກສະນະຫຼືບໍ່."
ກຸ່ມການຮັກສາຄວາມປອດໄພຂອງ Drupal ຍັງໄດ້ກໍານົດອອກ ຄວາມປອດໄພ ລາຍງານສໍາລັບບັນຫານີ້ແມ່ນສິ່ງທີ່ພິຈາລະນາວ່າມັນເປັນສິ່ງທີ່ສໍາຄັນ, ເຖິງວ່າຈະມີລະຫັດສູນ Drupal ຈະບໍ່ໄດ້ຮັບຜົນກະທົບ, ໃນທີ່ສຸດ, Tom ກໍາລັງນໍາໃຊ້ຄວາມບໍ່ສົມບູນແບບເຫຼົ່ານັ້ນ.

"ເນື່ອງຈາກຄວາມສໍາຄັນທີ່ຫນ້າຕື່ນຕາຕື່ນໃຈສໍາລັບບັນຫານີ້ແລະເວລາກ່ຽວກັບການລົງຂາວຂອງພວກເຮົາພວກເຮົາກໍາລັງອອກຫນັງສືພິມປະຊາກອນທົ່ວໄປໂດຍມີຄວາມລະມັດລະວັງອາດຈະມີຜົນກະທົບຕໍ່ຜູ້ຮັກສາເວັບໄຊທ໌ Drupal".

ໃນຄໍາແນະນໍາກ່ຽວກັບການປັບປຸງກົດຫມາຍວ່າດ້ວຍການໃຊ້ປະໂຫຍດຂອງປະຊາກອນທົ່ວໄປອາດຈະມີຢູ່, ຜູ້ທີ່ຖືກປົກປ້ອງບໍ່ຈໍາເປັນຕ້ອງມີສະຖານະພາບສູນກາງມື້. ຍິ່ງໄປກວ່ານັ້ນ, ຜົນໄດ້ຮັບໂດຍກົງແມ່ນຜົນກະທົບທີ່ແຕກຕ່າງຈາກ ເວັບໄຊທ໌ ກັບເວັບໄຊທ໌, ອີງຕາມວິທີການໃຊ້ PHPMailer, ບໍ່ມີວິທີງ່າຍໆສໍາລັບຜູ້ຄຸ້ມຄອງເວັບຈະຊ່ວຍບັນເທົາບັນຫາໂດຍບໍ່ມີການປະເມີນຢ່າງລະອຽດ.

ສົມມຸດວ່າພວກເຂົາເຈົ້າໃຊ້ PHPMailer ງ່າຍດາຍກ່ອນຫນ້ານີ້, ຂອງພວກເຂົາ ເວັບໄຊທ໌ລະຫັດຂອງ, ພວກເຂົາຄວນຈະ overhaul ຫ້ອງສະຫມຸດຂອງ patchcord ທີ່ຜ່ານມາຫຼ້າສຸດ versify ຢ່າງລວດໄວເຊັ່ນດຽວກັນກັບການປະຕິເສດຂອງມັນ. ນອກຈາກນັ້ນ, ພວກເຂົາຄວນເພີ່ມເຕີມກ່ຽວກັບວ່າມີຫຍັງກໍ່ຕາມສໍາລັບການຕິດຕໍ່, ການຕອບຮັບ, ການລົງທະບຽນ, ອີເມວຂອງເວັບໄຊທ໌ຂອງພວກເຂົາອີກດ້ວຍ. ປະເພດຕ່າງໆທີ່ສົ່ງຂໍ້ຄວາມສໍາລັບການຊ່ວຍເຫຼືອຂອງ PHPMailer ປ້ອງກັນບໍ່ວ່າຈະເປັນການປ້ອງກັນໃດໆ.

ໃນການນໍາໃຊ້ຂອບເຂດການຄຸ້ມຄອງສານເສບຕິດ, ພວກເຂົາຄວນເສີມຂະຫຍາຍການຊັ່ງນໍ້າຫນັກໃນເວັບໄຊທ໌ຊ່ວຍເຫຼືອຂອງຕົນໂດຍສະເພາະວ່າມັນມີອິດທິພົນຕໍ່ກັບການຕິດຕັ້ງຂອງມັນ. ຫຼັງຈາກນັ້ນພວກເຂົາຄວນຈະເອົາໃຈໃສ່ຜູ້ທີ່ສະຫນັບສະຫນູນສໍາລັບທຸກໆສິ່ງທີ່ຢູ່ໃນສະເພາະໃດຫນຶ່ງຂອງໂປແກມ plug-ins ແບບສະລັບກັນທີ່ພວກເຂົາຕ້ອງການນໍາສະເຫນີເຊັ່ນກັນເຊິ່ງອາດຈະໃຊ້ PHPMailer ດ້ວຍຕົນເອງ.

ອອກຈາກ Reply ເປັນ

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!