Blog

29 Dec 2016

PHP Mailer Liberaries Kills ເວັບໄຊທ໌ທຸກໆນາທີທ່ານບໍ່ໄດ້ອ່ານບົດຄວາມນີ້

/
ຈັດພີມມາໂດຍ

ການປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກການປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກທີ່ບໍ່ຈໍາກັດເຮັດ PHPMailer, standout ລະຫວ່າງ oak mossycup ນໍາໃຊ້ຢ່າງກວ້າງຂວາງການສົ່ງຫ້ອງສະຫມຸດອີເມວ PHP, ອາດຕັ້ງລ້ານເວັບໄຊ້ຢູ່ໃນອັນຕະລາຍຈາກການຮຽກຮ້ອງ hacking.

ຄວາມບໍ່ສົມບູນແບບອາດຈະຖືກພົບເຫັນຕໍ່ກັບຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພທີ່ມີຊື່ Dawid Golunski. ມີການແກ້ໄຂເພີ່ມເຕີມກ່ຽວກັບການແກ້ໄຂເລີ່ມຕົ້ນອາດຈະຖືກລວມເຂົ້າໃນ PHPMailer 5. 2 18, ເຊິ່ງອາດຈະຖືກປະຕິເສດໃນວັນເສົາ. ຢ່າງໃດກໍ່ຕາມ, ມັນສະແດງໃຫ້ເຫັນວ່າ patavium ອາດຈະບໍ່ພຽງພໍນອກຈາກນັ້ນອາດຈະເຮັດໃຫ້ຫຼີກເວັ້ນ.

ຫ້ອງສະຫມຸດ PHPMailer ອາດຈະຖືກນໍາໃຊ້ໂດຍສະເພາະໂດຍສະຫຼຸບໂດຍການພົວພັນໃນທີ່ສຸດ Tom ຂອງ perusing ເນື້ອຫາທີ່ສໍາຄັນຈໍານວນຫນຶ່ງໄດ້ສັງເກດເບິ່ງຂອບເຂດເສດຖະກິດ (CMSs) ລວມທັງ WordPress, Joomla ຍັງ Drupal. ສະຖານທີ່ຫ້ອງສະຫມຸດອາດຈະບໍ່ໄດ້ລວມຢູ່ກ່ອນຫນ້ານີ້, ລະຫັດສູນຂອງເຂົາເຈົ້າ, ມັນຈະເຂົ້າໄປໃກ້ກັບຮູບພາບກ່ຽວກັບຮູບພາບຕົວແບບແຍກຕ່າງຫາກສາມາດຖືກຫຸ້ມດ້ວຍຕົວຕິດຕັ້ງຂອງຄົນອື່ນ.

ເນື່ອງຈາກວ່ານີ້, ຂໍ້ບົກຜ່ອງຂອງຂໍ້ບົກຜ່ອງຂອງ camwood ແຕກຕ່າງກັນເລີ່ມຕົ້ນກັບເວັບໄຊທ໌ມີເວັບໄຊທ໌. ຕົວຢ່າງເຊັ່ນການຮ່ວມມືດ້ານຄວາມປອດໄພຂອງ Joomla ກໍານົດວ່າລະຫັດ Joomla JMail, ເຊິ່ງຂຶ້ນຢູ່ກັບ PHPMailer, ຕ້ອງມີການກວດສອບພິເສດເພີ່ມເຕີມທີ່ກໍານົດກ່ຽວກັບການຂູດຮີດທີ່ບໍ່ຖືກຕ້ອງ.

ຄວາມບໍ່ສົມບູນແບບຈະຖືກເລີ່ມຕົ້ນໄປສູ່ການຮັບເອົາຂໍ້ມູນທີ່ຢູ່ອີເມວຂອງຜູ້ສົ່ງເຂົ້າໄປໃນຂີ້ເຫຍື້ອ. ນອກຈາກນີ້ຍັງສາມາດອະນຸຍາດໃຫ້ຜູ້ກໍ່ການຮ້າຍເຂົ້າໃຈຄໍາສັ່ງຂອງ shell ທີ່ອາດຈະຖືກປະຕິບັດຢູ່ໃນເຄື່ອງແມ່ຂ່າຍເວັບໃນການຕັ້ງຄ່າໂຄງການ sendmail.

ຢ່າງໃດກໍຕາມ, ການທາລຸນອັນໃຫຍ່ຫຼວງບັງຄັບໃຫ້ບໍລິເວນໃກ້ຄຽງຂອງການສະແດງເວັບໄຊທ໌ເທິງເວັບໄຊທ໌ທີ່ມີການຈ້າງງານ PHPMailer ຈະສົ່ງຂໍ້ຄວາມຍັງອະນຸຍາດໃຫ້ເຂົ້າກັບສະຖານທີ່ອີເມວຜູ້ສົ່ງທີ່ຖືກຕ້ອງ - ສະຖານທີ່ເບິ່ງຄືວ່າຢູ່ໃນຫົວຂໍ້ອີເມວ. ມັນບໍ່ສົມເຫດສົມຜົນແນວໃດກ່ຽວກັບການຕັ້ງຄ່າແບບທົ່ວໄປແບບປົກກະຕິກ່ຽວກັບການສະແດງເວັບໂດຍທົ່ວໄປນໍາເອົາອີເມວຂອງຜູ້ສົ່ງທີ່ຖືກກໍານົດໄວ້ກ່ອນທີ່ຈະອະນຸຍາດໃຫ້ລູກຄ້າຕ້ອງການຂໍ້ມູນອີເມວຂອງພວກເຂົາເຊັ່ນດຽວກັນເປັນຜູ້ຮັບຜົນປະໂຫຍດ.

"ຈຸດທັງຫມົດທີ່ຢູ່ໃນສູນ Joomla API ທີ່ສົ່ງອີເມວນໍາໃຊ້ທີ່ຢູ່ຂອງຜູ້ສົ່ງທີ່ຕັ້ງໄວ້ໃນການຕັ້ງຄ່າທົ່ວໂລກນອກຈາກນີ້ບໍ່ໄດ້ພິຈາລະນາຂໍ້ມູນຂອງລູກຄ້າຄວນມີໂອກາດທີ່ຈະຕັ້ງຢູ່ບ່ອນອື່ນ" Joomla Security Cooperation ກ່າວວ່າສໍາລັບລາຍງານ. "ຢ່າງໃດກໍຕາມ, ສ່ວນຂະຫຍາຍທີ່ຊອງເອົາການປ່ຽນແປງທີ່ແຕກຕ່າງຂອງ PHPMailer ສະລັບກັນບໍ່ໄດ້ໃຊ້ Joomla API ທີ່ສົ່ງອີເມວອາດຈະເປັນໂອກາດທີ່ຈະປ້ອງກັນບໍ່ໃຫ້ບັນຫານີ້. "
ນັກພັດທະນາ WordPress ໄດ້ເຂົ້າມາຢູ່ໃນການສະຫລຸບການສົມທຽບ, ໂດຍອ້າງອີງໃສ່ການຕິດຕາມຕົວບົ່ງຊີ້ຂອງຕົນເອງວ່າການໃຊ້ wp_mail () ພາຍໃນຂອງຄອມພິວເຕີ້ໃຊ້ຕໍ່ກັບລະຫັດສູນ WordPress ອາດບໍ່ໄດ້ຮັບຜົນກະທົບຈາກມັນບໍ່ໄດ້ໃຊ້ຄຸນສົມບັດ PHPMailer ທີ່ບໍ່ມີອໍານາດ. ໂປແກຼມຜູ້ໃຊ້ທີ່ໃຊ້ໂປແກຼມທີ່ໃຊ້ wp_mail () ຢ່າງມີປະສິດທິພາບບໍ່ຄວນເຮັດໃຫ້ມີຜົນກະທົບຢ່າງໃດກໍ່ຕາມ, ປະເຊີນຫນ້າກັບ plug-ins ໂດຍສະເພາະແມ່ນຢູ່ພາຍໃຕ້ການກວດສອບ.

"The approaching 4. 7 ການມາຮອດ 1 ຈະມີການບັນເທົາບັນດາບັນຫາເຫຼົ່ານີ້ຫລາຍຢ່າງ, "ຜູ້ອອກແບບນໍາຫນ້າ WordPress Dion Hulse ກ່າວ. "ພວກເຮົາກໍາລັງສົ່ງກັບການຈັດສົ່ງຫ້ອງສະຫມຸດປອດໄພສໍາລັບ WordPress - ໃນກໍລະນີໃດກໍ່ຕາມຖ້າພວກເຮົາໃຊ້ລັກສະນະຫຼືບໍ່. "
ກຸ່ມການຮັກສາຄວາມປອດໄພຂອງ Drupal ໄດ້ຖືກກໍານົດໄວ້ເປັນບົດລາຍງານຄວາມປອດໄພສໍາລັບບັນຫານີ້. ສິ່ງທີ່ຖືກກວດເບິ່ງວ່າມັນເປັນສິ່ງສໍາຄັນ, ເຖິງແມ່ນວ່າຂໍ້ຄວາມສູນກາງຂອງ Drupal ຈະບໍ່ມີອິດທິພົນ.

"ເນື່ອງຈາກຄວາມສໍາຄັນທີ່ຫນ້າຕື່ນຕາຕື່ນໃຈສໍາລັບບັນຫານີ້ແລະເວລາກ່ຽວກັບການລົງຂາວຂອງພວກເຮົາພວກເຮົາກໍາລັງອອກຫນັງສືພິມປະຊາກອນທົ່ວໄປໂດຍມີຄວາມລະມັດລະວັງອາດຈະມີຜົນກະທົບຕໍ່ຜູ້ຮັກສາເວັບໄຊທ໌ Drupal".

ໃນຄໍາແນະນໍາກ່ຽວກັບການປັບປຸງກົດຫມາຍວ່າດ້ວຍການໃຊ້ປະໂຫຍດຂອງປະຊາກອນທົ່ວໄປອາດຈະມີຢູ່, ຜູ້ທີ່ຖືກປົກປ້ອງບໍ່ຈໍາເປັນຕ້ອງມີສະຖານະພາບສູນກາງມື້. ນອກຈາກນັ້ນ, ຜົນໄດ້ຮັບໂດຍກົງແມ່ນຜົນກະທົບຈາກເວັບໄຊທ໌ໄປເວັບໄຊທ໌, ໂດຍອີງໃສ່ວິທີການໃຊ້ PHPMailer, ບໍ່ແມ່ນວິທີງ່າຍໆສໍາລັບຜູ້ຄຸ້ມຄອງເວັບຈະຊ່ວຍບັນເທົາບັນຫານີ້ໂດຍບໍ່ມີການປະເມີນຢ່າງລະອຽດ.

ການສົມມຸດວ່າພວກເຂົາເຈົ້າໃຊ້ PHPMailer ງ່າຍກ່ອນຫນ້ານີ້, ລະຫັດເວັບໄຊທ໌ຂອງພວກເຂົາ, ພວກເຂົາຄວນຈະ overhaul ຫ້ອງສະຫມຸດຂອງ patchcord ທີ່ຜ່ານມາຫຼ້າສຸດ versify ຢ່າງໄວວາເຊັ່ນດຽວກັນກັບການປະຕິເສດຂອງຕົນ. ນອກຈາກນັ້ນ, ພວກເຂົາຄວນເພີ່ມເຕີມກ່ຽວກັບວ່າມີຫຍັງກໍ່ຕາມສໍາລັບການຕິດຕໍ່, ການຕອບຮັບ, ການລົງທະບຽນ, ອີເມວຂອງເວັບໄຊທ໌ຂອງພວກເຂົາອີກດ້ວຍ. ປະເພດຕ່າງໆທີ່ສົ່ງຂໍ້ຄວາມສໍາລັບການຊ່ວຍເຫຼືອຂອງ PHPMailer ປ້ອງກັນບໍ່ວ່າຈະເປັນການປ້ອງກັນໃດໆ.

ໃນການນໍາໃຊ້ຂອບເຂດການຄຸ້ມຄອງສານເສບຕິດ, ພວກເຂົາຄວນເສີມຂະຫຍາຍການຊັ່ງນໍ້າຫນັກໃນເວັບໄຊທ໌ຊ່ວຍເຫຼືອຂອງຕົນໂດຍສະເພາະວ່າມັນມີອິດທິພົນຕໍ່ກັບການຕິດຕັ້ງຂອງມັນ. ຫຼັງຈາກນັ້ນພວກເຂົາຄວນຈະເອົາໃຈໃສ່ຜູ້ທີ່ສະຫນັບສະຫນູນສໍາລັບທຸກໆສິ່ງທີ່ຢູ່ໃນສະເພາະໃດຫນຶ່ງຂອງໂປແກມ plug-ins ແບບສະລັບກັນທີ່ພວກເຂົາຕ້ອງການນໍາສະເຫນີເຊັ່ນກັນເຊິ່ງອາດຈະໃຊ້ PHPMailer ດ້ວຍຕົນເອງ.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!