ब्लॉग

29 डिसेंबर 2016

PHP मेलर लाइब्रेरीज दर मिनिटाला आपण हा लेख वाचला नाही

/
द्वारा पोस्ट केलेले

एक आश्चर्यजनक रिमोट कोड एक्झिक्यूशन असुरक्षितता केली PHPMailer, mossycup ओक मध्ये एक standout व्यापकपणे PHP ईमेल पाठविण्यास लायब्ररी वापर केला, कदाचित लाखो साइट सेट धोका हॅकिंग दावा पासून.

डेव्हिड गोलुस्की नावाची सुरक्षा तज्ञांकडे अपूर्णता आढळली असती. आता आणखी एक प्रारंभिक निराकरण PHPMailer 5 मध्ये समाविष्ट केले गेले असावे. 2 18, जे शनिवार सोडले गेले असावे तथापि, असे दिसून येते की पॅटिविअम कदाचित अपुरे असण्याची शक्यता आहे व ते उपनगरातील ठरू शकते.

PHPMailer लायब्ररी विशेषतः वैकल्पिकरित्या उपयोगात आणली जाऊ शकते. अखेरीस टॉमने एक महत्त्वपूर्ण संख्या असलेली सामग्री वर्डप्रेस, जूमला तसेच ड्रुपलसह अर्थ फ्रेमवर्क (सीएमएस) पाहत होते. लायब्ररी समाविष्ट केले जाऊ शकत नाही ती जागा पूर्वी, त्यांचे केंद्र कोड, हे प्रवेशयोग्य असेल. दृष्टिकोनातून स्वतंत्र मॉडेलला पर्यायीपणे तृतीय-पक्ष अॅड-ऑन सह पॅकेज केले जाऊ शकते.

यामुळे, त्या दोष वेबसाइटवर वेबसाइटसह सुरू व्हायच्या भिन्न आहेत. उदाहरणार्थ, त्या जूमला सुरक्षा सहकार्याने असे ठरविले की, जूमला जेमेल क्लास जे PHPMailer वर अवलंबून असते, त्यांना अतिरिक्त प्रमाणीकरणांची आवश्यकता आहे जे अपरिहार्यपणे शोषणक्षमतेचा शोषण करणार नाहीत.

अपरिपक्व प्रेषक ई-मेल पत्त्याच्या माहितीचे ओझर फुले स्वीकारण्याची प्रक्रिया सुरू केली जाईल तसेच एखाद्या आक्रमकाने शेल आदेशांना प्रोत्साहन दिले जाऊ शकते ज्यास वेब सर्व्हरवर पाठवल्या जाणाऱ्या मेल पाठवण्यामध्ये पाठवले जातील.

तथापि, छान दुर्व्यवहाराने वेबसाइटवर वेबवरील अभिव्यक्तीच्या आसपासच्या गोष्टींना बंधनकारक केले आहे जे PHPMailer च्या रोजगारास संदेश पाठवेल तसेच सानुकूल प्रेषक ईमेल स्थानास इनपुट करण्याची अनुमती देखील देते - हे ई-मेल शीर्षलेखातील असे स्थान. नियमितपणे अशा प्रकारचे कॉन्फिगरेशन्स कसे आहेत हे सामान्यत: वेब ऍप्लीकेशनशनवर प्रेषक ईमेल पूर्वनिर्धारित आणते. तसेच सर्वोत्तम परवाना क्लायंटना त्यांच्या ईमेल पत्त्याची माहिती असावी. त्याचप्रमाणे एक लाभार्थी म्हणून

जूमला सुरक्षा सहकार्याने एका अहवालात म्हटले आहे की, "जूमला एपीआयमधील सर्व स्पॉट्स जी जगभरातील सेटअपमध्ये प्रेषक पत्त्याचा वापर करते ते मेल पाठवितात. तसेच ग्राहक माहिती इतरत्र कोठेही ठेवण्याची संधी विचारत नाही." "तथापि, विस्तार जे पीएचपीएमलरच्या एक वेगळे ऍडॅप्शन पैक करतात ते जूमला एपीआयचा वापर करू शकत नाही हे मेल पाठविण्यामुळे निराधार असण्याची शक्यता आहे. ".
वर्डप्रेस डेव्हलपर्स एक तुलनात्मक निष्कर्षापर्यंत पोहचले आहेत, त्यांच्या स्वत: च्या बग ट्रॅकरवर नोंद करीत आहे की वर्डप्रेस केंद्र कोडच्या अंतर्गत वापरलेल्या अंतर्गत wp_mail () कामावर याचा प्रभाव पडत नाही त्यास शक्तिहीन PHPMailer वैशिष्ट्य वापरत नाही Wp_mail () प्रभावीपणे वापरल्या जाणार्या थर्ड-पार्टी प्लग-इनना काल्पनिक पद्धतीने प्रभाव पाडला जाणे आवश्यक नाही, परंतु विशिष्ट प्लग-इनची बोलणे सध्या परीक्षा अंतर्गत असू शकतात.

"जवळ येत 4 7 1 आगमन या समस्या साठी असंख्य आराम धारण होईल, "वर्डप्रेस लीड डिझायनर Dion हल्स सांगितले. "आम्ही केवळ वर्डप्रेससाठी सुरक्षित लायब्ररीचे शिपिंगसह सबमिट केले आहे - कोणत्याही परिस्थितीत जर आम्ही वैशिष्ट्य वापरत नाही किंवा नाही ".
Drupal सुरक्षा गट तसेच बाहेर सेट या समस्येसाठी एक सुरक्षा अहवाल काय आहे हे अधिक गंभीर म्हणून तपासली आहे, Drupal केंद्र कोड परिणाम होणार नाही की अखेरीस टॉम च्या त्या imperfection perusing.

"या समस्येबद्दल आश्चर्यकारक कठीणता आणि आपल्या स्त्रावची वेळ आम्ही देत ​​आहोत, सामान्य जनसांख्यिकी प्रशासनाने सावधगिरीने सावधगिरीने ड्रपल साइटवर देखरेख करणाऱ्या कंपन्यांना प्रभावित केले आहे," असे सहकार्याने सांगितले.

प्रास्ताविक निश्चयपूर्वक कॅमवुडकडे दुर्लक्ष केले जाते आणि सर्वसाधारण जनतेचा दुरुपयोग कोड उपलब्ध होऊ शकतो, त्या निराधारतेला शून्य दिवसांची स्थिती आवश्यक असते - हे सार्वजनिकपणे संदर्भित केले जाईल आणि न पाठविले जाईल. शिवाय, प्रत्यक्ष परिणाम हा व्हाईट मास्टर्सचा उपयोग कसा करावा, यावर अवलंबून असण्याचा वेबसाइटचा एक वेबसाइट वर बदलला आहे, वेबमास्टर्ससाठी सरळ दृष्टिकोन काळजीपूर्वक मूल्यांकन न करता सुटसुटीत होईल.

असे गृहीत धरून की ते सरळपणे PHPMailer वापरतात, त्यांच्या वेबसाइटचा कोड, ते तितक्याच लवकर पॅच कॅर्ड पुस्तकाची लायब्ररी दुरुस्त करताच त्याचं त्याचप्रमाणे त्याचं डिसिझार्ड म्हणून. त्यांच्या साइटच्या संपर्कासाठी, फीडबॅक, नोंदणी, ई-मेल रीसेटसाठी जे काही हवे ते यापेक्षा आणखी बळकटी देणारे असावे. PHPMailer च्या निराधार भाषांतरांच्या सहाय्यासाठी देखील विविध प्रकारचे संदेश पाठविण्यात येतात काय आहे हे गृहित धरत आहे की संभाव्य अटकीक्षक त्या प्रेषक ईमेलचे स्थान माहिती देऊ शकतात.

ते एक पदार्थ प्रशासन आराखडा वापरण्यावर त्यांनी पुढील आधार देण्यास मदत केली पाहिजे की हे त्याच्या वेबसाइटवर त्याचे मूलभूत सेटअप सह एकत्रित केले आहे की नाही हे आकृती काढते. यानंतर त्यांना कुठल्याही तृतीय पक्षाच्या प्लग-इन्सवर गाढवे लावावे लागतील. त्याऐवजी त्यांना मॉड्यूल लावण्याची गरज आहे तसेच ते त्यांच्या स्वतःच्या पीएचपीएमलरचा वापर करतील.

GTranslate Your license is inactive or expired, please subscribe again!