Blogg

29 desember 2016

PHP Mailer Liberaries Dræper nettsted hvert minutt du ikke leser denne artikkelen

En utrolig ekstern kodeutførelse forsvarsløshet gjort PHPMailer, en standout blant mossycup-eiken, som i stor utstrekning brukes til PHP-e-postbiblioteker, kan sette millioner av nettsteder i fare fra å hevde hacking.

Ufullkommenheten kan ha blitt funnet Toward En sikkerhetsspesialist ved navn Dawid Golunski. Hva mer kan en start-løsning ha blitt innlemmet i PHPMailer 5. 2. 18, som kanskje har blitt utladet lørdag. Det viser seg imidlertid at pataviet kanskje har vært utilstrekkelig. Videre kan det bli omgått.

PHPMailer-biblioteket kan benyttes spesifikt vekselvis ved implikasjon. Til slutt teller Toms et betydelig antall innholdsoversiktsrammer for økonomi (CMS), inkludert WordPress, Joomla Drupal. Stedet biblioteket kan ikke inkluderes Tidligere, deres senterkode, vil det være tilbøyelig til å få tilgang. Om illustrasjon En separat modul kan alternativt pakkes med tredjeparts add-ons.

På grunn av dette, er feilen sway camwood forskjellig starter med nettsted med nettside. For eksempel dikterte disse Joomla-sikkerhetssamarbeidet at disse Joomla JMail-klassen, som avhenger en gang PHPMailer, trenger ekstra valideringer som er satt opp på å utnytte ulovlig forsvarsløshet.

Ufullkommenheten vil bli initiert Mot insufflate aksept av avsenderens e-postadresseinformasjon kan også tillate at en angriper vil infiltere skallkommandoer som kan utføres på webserveren i innstillingen av sendmail-prosjektet.

Imidlertid forplikter stor misbruk de nærhetene til en web manifestasjon på nettsiden som employments PHPMailer vil sende meldinger Tillater også å legge inn en egendefinert avsender e-post plassering - plasseringen som synes i e-post header. Det er ikke fornuftig hvor vanlig slike konfigurasjoner er, på vanlig web manifestasjoner bringer avsenderens e-post forhåndsdefinert. Også beste tillatelse kunder skal informere sin e-postadresse på samme måte som En mottaker.

"Alle steder i sentrum Joomla API, som sender e-post, bruker avsenderadressen som er angitt i det verdensomspennende oppsettet. Videre vurderer ikke klientinformasjon skal ha en sjanse til å ligge andre steder, sier Joomla-sikkerhetssamarbeidet for en rapport. "Men utvidelser som pakker En differensiert tilpasning av PHPMailer vekselvis ikke bruk Joomla API med send e-post kan være en sjanse til å være forsvarsløs bør dette problemet. “.
WordPress-utviklerne kom til en komparativ konklusjon, og noterte seg på egen bugs-tracker at internt wp_mail () -arbeidet som brukes mot WordPress-senterkoden ikke kan påvirkes, da den ikke bruker den maktfrie PHPMailer-karakteristikken. Tredjeparts plugin-moduler som bruker wp_mail () effektivt, burde hypotetisk ikke påvirke heller, men svingen til bestemte plugin-moduler kan for tiden undersøkes.

"Den nærmer seg 4. 7. 1 ankomst vil holde mange lettelser for disse problemene, sier WordPress-ledende designer Dion Hulse. "Vi er sendt inn med bare forsendende sikre biblioteker for WordPress - i alle fall for hvis vi bruker karakteristikken eller ikke. “.
Drupal-sikkerhetsgruppen ligner også en sikkerhetsrapport for dette problemet. Det er dessuten sjekket det som kritisk, til tross for at Drupal-senterkoden ikke vil bli påvirket. Til slutt vurderer Tom den ufullkommenheten.

"Gitt den utrolige kritikken for dette problemet og tidspunktet for utslippsutstedelsen, utsteder vi en generell publikasjonsadministrasjonspublikasjon med forsiktighet, som muligens påvirket Drupal-nettstedsholdere," sa samarbeidet.

På den innledende bosetningen blir camwood omgått, og generell misbrukskode kan være tilgjengelig, de forsvarsløsningen trenger nulldagsstatus - det vil bli offentlig omtalt og unpatched. Videre er det et direkte resultat at effekten varierer fra nettsted til nettside, avhengig av hvordan PHPMailer kan brukes, det er ikke en enkel tilnærming til webmastere, vil avhjelpe problemet uten nøye vurdering.

Forutsatt at de bruker PHPMailer rettferdig Tidligere, deres nettside kode, de burde overhale biblioteket med den nyeste patchcord utgjøre så raskt på samme måte som det er utladet. De bør videreutvikle også å finne ut om Uansett for deres nettsteds kontakt, tilbakemelding, registrering, e-postresetasjon Videre forskjellige typer formidle meldinger for hjelp av en forsvarsløs overføring av PHPMailer. Hva mer antas at En mulighet angriper kunne informere den avsendte e-postadressen.

Når de bruker en substansadministrasjonsramme, bør de videreveie veiehjelpens nettside for å finne ut om det påvirkes ved siden av standardoppsettet. Etter det burde de asses disse svingene for noen. Uansett tredjeparts plug-ins alternerende moduler som de trenger introdusert. Også som kan bruke PHPMailer på egen hånd.

GTranslate Your license is inactive or expired, please subscribe again!