Blog

29 december 2016

PHP Mailer Liberaries Kills website elke minuut dat je dit artikel niet leest

Een ongelovige uitvoering van weerloos gedrag op afstand, uitgevoerd door PHPMailer, een opvaller tussen de eikelbrekerij die in grote lijnen PHP-bibliotheken voor e-mailverzending gebruikte, zou miljoenen sites in gevaar kunnen brengen door hacking te claimen.

De imperfectie is mogelijk gevonden naar een beveiligingsspecialist met de naam Dawid Golunski. Wat is meer een startfixatie die mogelijk is opgenomen in PHPMailer 5. 2. 18, mogelijk ontladen op zaterdag. Het blijkt echter dat het patavium mogelijk niet toereikend was. Verder kan het overbrugd worden.

De PHPMailer-bibliotheek kan specifiek worden gebruikt, afwisselend impliciet. Uiteindelijk doorziet Tom een ​​aanzienlijk aantal inhoud over de raamwerken van de economie (CMS) waaronder WordPress, Joomla Also Drupal. De plaats waar de bibliotheek mogelijk niet is opgenomen Eerder, hun middelste code, is deze geneigd toegankelijk. Ter illustratie Een afzonderlijke module kan afwisselend worden ingepakt met externe add-ons.

Als gevolg hiervan verschillen die zwaaiende slingercollecten van start met website met website. Deze Joomla-beveiligingssamenwerking dicteerde bijvoorbeeld dat die Joomla JMail-klasse, die eens per PHPMailer afhankelijk is, extra validaties nodig heeft die zich vestigen op het exploiteren van de weerloze logheid.

De imperfectie zal worden geïnitieerd Naar acceptatie van de emailadresgegevens van de afzender. Ook kan een aanvaller shellopdrachten die op de webserver kunnen worden uitgevoerd infuseren in de setting van het sendmailproject.

Groot misbruik verplicht echter de omgeving van een webmanifestatie op de website dat werknemers PHPMailer berichten zullen sturen. Ook staat het toe om een ​​aangepaste e-maillocatie van de afzender in te voeren - de locatie die in de kop van de e-mail staat. Het is niet redelijk hoe regulier dergelijke configuraties zijn, in het algemeen webmanifestaties brengen de afzender een e-mail vooraf gedefinieerd. Ook beste vergunningklanten zouden informatie moeten hebben over hun e-mailadres op dezelfde manier als een begunstigde.

"Alle plaatsen in het centrum Joomla API die e-mail versturen, maken gebruik van het afzenderadres dat is ingesteld bij de wereldwijde opzet. Bovendien is het niet de bedoeling dat klantinformatie ergens anders ligt", zei de Joomla-beveiligingssamenwerking voor een rapport. "Extensies die een differentiële aanpassing van PHPMailer inpakken, maken echter geen gebruik van de Joomla API met verstuurde e-mail. Dit zou een kans kunnen zijn om weerloos te zijn. “.
De WordPress-ontwikkelaars kwamen tot een vergelijkende conclusie, wijzend op hun eigen bugtracker dat het interne wp_mail () werk dat wordt gebruikt naar de WordPress-centercode mogelijk niet wordt beïnvloed, geen gebruik maakt van de machteloze PHPMailer-eigenschap. Plug-ins van derden die wp_mail () effectief gebruiken, moeten ook hypothetisch geen invloed hebben, maar de slinger naar bepaalde plug-ins kan momenteel worden onderzocht.

"De naderende 4. 7. 1-aankomst zal voor deze problemen een groot aantal opluchting bieden ", zei ontwerper Dion Hulse van WordPress. "We zijn ingediend met alleen beveiligde bibliotheken voor WordPress - in ieder geval als we het kenmerk gebruiken of niet. “.
De Drupal-beveiligingsgroep heeft ook een beveiligingsrapport opgesteld voor dit probleem. Wat meer controleerde, was kritiek, ondanks het feit dat de Drupal-centrale code niet zal worden beïnvloed. Uiteindelijk doorziet Tom deze imperfectie.

"Gezien de verbazingwekkende kritikaliteit voor dit probleem en de timing van de kwijting, geven we een algemene publicatie over populatieadministratie met de nodige voorzichtigheid, mogelijk beïnvloed door Drupal-beheerders van de site," zei die samenwerking.

Op de inleidende regel kan camwood worden omzeild en algemene code voor misbruik van de bevolking kan beschikbaar zijn, die weerloosheid heeft een zero-day status nodig - deze zal publiekelijk worden doorverwezen en ongepatcht. Bovendien, een direct resultaat dat effect varieert van website tot website, afhankelijk van hoe PHPMailer kan worden gebruikt, is er geen eenvoudige aanpak voor webmasters om het probleem te verlichten zonder een zorgvuldige beoordeling.

Ervan uitgaande dat ze PHPMailer rechttoe rechtaan gebruiken Eerder, de code van hun website, zouden ze de bibliotheek van de meest recente patchcordversificatie even snel moeten reviseren als de ontladen. Ze zouden nog meer moeten uitkijken naar wat het contact, feedback, registratie en e-mailreset van hun site zou kunnen zijn. Verder geven verschillende typen berichten door voor hulp bij een weerloze weergave van PHPMailer. Wat meer is er van uitgaande dat een aanvaller de e-maillocatie van de afzender kan vinden.

Op basis van het gebruik van een stoffenadministratieframework zouden ze hun help-website verder moeten wegen om erachter te komen of het beïnvloedde naast de standaardinstellingen. Daarna zouden ze die invloed moeten beoordelen op alle externe plug-ins die afwisselend modules bevatten die ze nodig hebben. Ook die kunnen PHPMailer op zichzelf gebruiken.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!