Blogas

29 Gruodis 2016

PHP Mailer Liberaries Nužudo svetainę kiekvieną minutę, kai neskaitai šio straipsnio

Netikėtas nuotolinio kodo vykdymo gynimas padarė PHPMailer, tarp mossycup ąžuolo standout iš esmės panaudota PHP elektroninio pašto siuntimo bibliotekos, gali nustatyti milijonus svetainių pavojaus reikalauti įsilaužimo.

Nepakankamas požiūris į saugumo specialistą, pavadintą Dawidą Golunskį, galėjo būti nenuosekliu. Kuo daugiau galėjo būti įtrauktas PHPMailer 5 pradinis sprendimas? 2. 18, kuris galėjo būti išsikrovęs šeštadienį. Tačiau paaiškėja, kad pataviumas gali būti netinkamas. Be to, jis gali apeiti.

PHPMailer biblioteka gali būti naudojama būtent pakaitomis implikuotai. Galų gale Tomas perimdamas daugybę turinio, kuris prižiūrėjo ekonomikos sistemas (CMS), įskaitant "WordPress", "Joomla" ir "Drupal". Vieta, kur biblioteka gali būti neįtraukta. Anksčiau jų centro kodas bus linkas prieinamas. Dėl iliustracijos Atskiras modulis pakaitomis gali būti supakuotas su trečiosios šalies priedais.

Dėl šios priežasties šis trūkumas yra labai skirtingas, pradedant svetainės svetaine. Pavyzdžiui, tie "Joomla" bendradarbiavimo saugumo klausimai diktavo, kad tie Joomla JMail klasė, kuri priklauso nuo to, kada PHPMailer veikia, reikalauja papildomų patvirtinimų, kurie nustato nelogišką apsaugą.

Netobulas bus inicijuotas Siekiant sustiprinti siuntėjo el. Pašto adreso informacijos priėmimą. Taip pat gali leisti, kad užpuolikas įkels komandų, kurie gali būti vykdomi žiniatinklio serveryje, naudojant sendmail projektą.

Tačiau didelis piktnaudžiavimas įpareigoja juos aptikti žiniatinklio apipavidalinimą toje svetainėje, kurioje užsiėmimai siunčia PHPMailer. Taip pat leidžiama įvesti pasirinktinę siuntėjo el. Pašto adresą - vietą, kuri yra iš el. Pašto antraštės. Tai nėra protinga, kaip reguliariai tokios konfigūracijos yra, paprastai žiniatinklio apraiškos pateikia iš anksto nustatytą siuntėjo el. Laišką. Taip pat geriausia, kad klientai turėtų informaciją savo el. Pašto adresu. Panašiai kaip ir naudos gavėjas.

"Visi centrai" Joomla "API, siunčiantys el. Laiškus, naudoja visame pasaulyje nustatytą siuntėjo adresą. Be to, nelaikoma, kad kliento informacija turėtų būti kitoje vietoje", - sakoma "Joomla" bendradarbiavimo saugumo klausimais ataskaitoje. "Tačiau išplėtimai, kurių paketas Diferencijuojamos PHPMailer adaptacijos, naudojant" Joomla "API nenaudojant siuntimo el. Laiško, gali būti galimybė būti be gynybiškų, jei tai būtų problema. "
"WordPress" kūrėjai atvyko į lyginamąją išvadą, nurodydami savo klaidų sekimo programą, kad vidinis "wp_mail ()" naudojamas darbas "WordPress" centro kodui gali nepaveikti, nes jame nenaudojamas bepuolis "PHPMailer" charakteristikos. Veiksmingai neturėtų įtakos ir trečiųjų šalių papildiniai, kurie naudoja wp_mail (), tačiau šiuo metu gali būti nagrinėjami tam tikri papildiniai.

"Artėja 4. 7. "1" atvykimas turės daugybę pagalbos šiems klausimams ", - sakė" WordPress "vyriausiasis dizaineris Dionas Hulseas. "Mes pateikiami tik" WordPress "saugiomis bibliotekomis - bet kuriuo atveju, jei naudosime charakteristiką arba ne. "
Drupal saugumo grupė taip pat išdėstė šio pranešimo saugumo ataskaitą. Dar daugiau tai patikrino, kaip svarbu, nepaisant to, kad Drupal centro kodas neturės įtakos. Galiausiai Tomas suvokia šias netikslumus.

"Atsižvelgiant į akivaizdžią šio klausimo kritiškumą ir jo išleidimo laiką, mes išleidžiame bendrą gyventojų administravimo leidinį atsargiai, galbūt įtakojome Drupal svetainių palaikytojus", - sakė šis bendradarbiavimas.

Įžanginiame stovyklavietėje bus apeinama, taip pat gali būti pateiktas bendras netinkamo elgesio su žmonėmis kodas, todėl šiam be gynybai reikia nulinės dienos statuso - jis bus viešai nurodytas ir nepasišalintas. Be to, tiesioginis rezultatas toks poveikis skiriasi nuo svetainės iki interneto svetainės, atsižvelgiant į tai, kaip PHPMailer gali būti naudojamas, nėra paprasto požiūrio, kad žiniatinklio valdytojai padės išspręsti problemą be kruopštaus įvertinimo.

Darant prielaidą, kad jie naudoja PHPMailer tiesiai anksčiau, savo svetainės kodą, jie turėtų pertvarkyti naujausią patchcord biblioteką versti taip greitai, kaip ir jo išleidimo. Jie taip pat turėtų sustiprinti, taip pat išsiaiškinti, ar neatsižvelgiant į jų svetainės kontaktą, grįžtamąjį ryšį, registraciją, el. Pašto atstatymą. Be to, skirtingų tipų pranešimai yra tokie, kad būtų galima pasinaudoti be gynybinio PHPMailer pateikimo. Be to, darant prielaidą, kad galimybė užpuolikas gali būti informacija apie tuos siuntėjo el. Pašto adresus.

Jiems panaudojant medžiagos tvarkymo sistemą, jie turėtų papildomai pasverti savo pagalbos tinklalapį, kad išsiaiškintumėte, ar tai turėjo įtakos ne tik numatytam nustatymui. Po to jie turėtų įvertinti tokius pokyčius, kokius nors trečiųjų šalių papildinius, alternatyvius modulius, kuriuos jiems reikia įdiegti. Be to, kurie gali naudoti PHPMailer savarankiškai.

GTranslate Your license is inactive or expired, please subscribe again!