Blog

29 december 2016

PHP Mailer Liberaries Kills website elke minuut dat je dit artikel niet leest

/
Gepost door

Een ongelovige uitvoering van weerloos gedrag op afstand, uitgevoerd door PHPMailer, een opvaller tussen de eikelbrekerij die in grote lijnen PHP-bibliotheken voor e-mailverzending gebruikte, zou miljoenen sites in gevaar kunnen brengen door hacking te claimen.

De imperfectie is mogelijk gevonden naar een beveiligingsspecialist met de naam Dawid Golunski. Wat is meer een startfixatie die mogelijk is opgenomen in PHPMailer 5. 2. 18, mogelijk ontladen op zaterdag. Het blijkt echter dat het patavium mogelijk niet toereikend was. Verder kan het overbrugd worden.

De PHPMailer bibliotheek kan specifiek afwisselend worden gebruikt impliciet Uiteindelijk Tom's doorlezen van een groot aantal inhoud overzag economie kaders (CMS), waaronder WordPress, Joomla Ook Drupal. De plaats waar de bibliotheek mogelijk niet is opgenomen Eerder, hun middelste code, is deze geneigd toegankelijk. Ter illustratie Een afzonderlijke module kan afwisselend worden ingepakt met externe add-ons.

Als gevolg hiervan verschillen die zwaaiende slingercollecten van start met website met website. Bijvoorbeeld die Joomla samenwerking op veiligheidsgebied gedicteerd dat die Joomla JMail klasse, die afhankelijk is eenmaal PHPMailer, moeten extra validaties opgezet dat vestigen op het benutten van de weerloosheid onlogisch.

De imperfectie zal worden geïnitieerd Naar acceptatie van de emailadresgegevens van de afzender. Ook kan een aanvaller shellopdrachten die op de webserver kunnen worden uitgevoerd infuseren in de setting van het sendmailproject.

Echter, grote misbruik verplicht de nabijheid van een web-manifestatie op de website dat dienstverbanden PHPMailer worden berichten maakt ook het invoeren van een aangepaste afzender e-locatie te verzenden - de locatie die lijkt op de van e-mail header. Het is niet redelijk hoe regulier dergelijke configuraties zijn, in het algemeen webmanifestaties brengen de afzender een e-mail vooraf gedefinieerd. Ook beste vergunningklanten zouden informatie moeten hebben over hun e-mailadres op dezelfde manier als een begunstigde.

"Alle spots in het centrum Joomla API die mail te sturen gebruik maken van de afzender adres in te stellen in de wereldwijde setup Verder houdt geen rekening met de klant informatie moet een kans om ergens anders te liggen," zei de Joomla samenwerking op veiligheidsgebied voor een verslag. "Extensies die een differentiële aanpassing van PHPMailer inpakken, maken echter geen gebruik van de Joomla API met verstuurde e-mail. Dit zou een kans kunnen zijn om weerloos te zijn als dit probleem zich zou voordoen.".
De WordPress ontwikkelaars aangekomen bij een vergelijkende conclusie, en merkt op hun eigen bug tracker dat de interne wp_mail () werk gebruikt Tegen het WordPress centrum code niet kan worden beïnvloed op het niet gebruik maken van de machtelozen PHPMailer karakteristiek. Plug-ins van derden die wp_mail () effectief gebruiken, moeten ook hypothetisch geen invloed hebben, maar de slinger naar bepaalde plug-ins kan momenteel worden onderzocht.

"De naderende 4 7 1-aankomst zal veel opluchting bieden voor deze problemen", zei ontwerper Dion Hulse van WordPress. "We zijn ingediend met alleen beveiligde bibliotheken voor WordPress - in ieder geval als we het kenmerk gebruiken of niet.".
De beveiligingsgroep Drupal is eveneens uiteengezet Een beveiliging rapport voor dit probleem Wat is meer gecontroleerd het als kritiek, ondanks het feit dat de Drupal-centrumcode niet zal beïnvloed worden Uiteindelijk doorzoekt Tom die onvolmaaktheid.

"Gezien de verbazingwekkende kritikaliteit voor dit probleem en de timing van de kwijting, geven we een algemene publicatie over populatieadministratie met de nodige voorzichtigheid, mogelijk beïnvloed door Drupal-beheerders van de site," zei die samenwerking.

Op de inleidende regel kan camwood worden omzeild en algemene code voor misbruik van de bevolking kan beschikbaar zijn, die weerloosheid heeft een zero-day status nodig - deze zal publiekelijk worden doorverwezen en ongepatcht. Bovendien, een direct resultaat, dat effect varieert van website op de website, vertrouwend op hoe PHPMailer kan worden gebruikt, is er geen eenvoudige aanpak voor webmasters die het probleem zullen verlichten zonder een zorgvuldige beoordeling.

Ervan uitgaande dat ze PHPMailer rechttoe rechtaan gebruiken Eerder, hun website's code, ze zouden de bibliotheek van de meest recente patchcord versify even snel moeten reviseren als de ontladen patch. Ze moeten verder versterken ook erachter te komen of bij wat voor contact van hun site, feedback, registratie, e-mail te resetten Bovendien verschillende boodschappen overbrengen voor die hulp van een weerloze vertolking van PHPMailer Wat meer is in de veronderstelling dat er een mogelijkheid aanvaller kon informatie die afzender e-mail locatie.

Op basis van het gebruik van een stoffenadministratieframework zouden ze hun help-website verder moeten wegen om erachter te komen of het beïnvloedde naast de standaardinstellingen. Daarna zouden ze die invloed moeten beoordelen op alle externe plug-ins die afwisselend modules bevatten die ze nodig hebben. Ook die kunnen PHPMailer op zichzelf gebruiken.

Laat een reactie achter

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!