Blog

29 grudzień 2016

PHP Mailer Liberaries Zabija stronę internetową co minutę, nie czytając tego artykułu

/
Wysłane przez

Niewiarygodna bezbronność wykonania zdalnego kodu PHPMailer, wyróżniająca się wśród dębów mossycup, szeroko wykorzystuje biblioteki wysyłania e-maili do PHP, może ustawić miliony stron w zagrożeniu z roszczenia hakerskiego.

Można znaleźć niedoskonałość W stronę Specjalisty ds. Bezpieczeństwa o nazwisku Dawid Golunski Co więcej, początkowa poprawka mogła zostać włączona do PHPMailer 5. 2. 18, który mógł zostać rozładowany w sobotę. Okazuje się jednak, że patevium mogło być niewystarczające. Co więcej, może ominąć.

Biblioteka PHPMailer może być wykorzystywana na przemian z implikacją. W końcu Tomek przegląda znaczną ilość treści nadzorowanych frameworków ekonomicznych (CMS), w tym WordPress, Joomla Also Drupal. Miejsce, w którym biblioteka może nie być uwzględniona Wcześniej, kod centralny, będzie dostępny z nachyleniem Dotyczący ilustracji Oddzielny moduł może być naprzemiennie pakowany z dodatkami innych firm.

W związku z tym, te luki w cambridge różnią się od strony internetowej ze stroną internetową. Na przykład, współpraca w zakresie bezpieczeństwa Joomla podyktowała, że ​​te klasy Joomla JMaila, które zależą od PHPMailera, wymagają dodatkowych ustawień sprawdzających, które decydują się na wykorzystanie nielogiczności bezbronności.

Niedoskonałość zostanie zainicjowana W stronę niedopuszczalnej akceptacji informacji o adresie e-mail nadawcy. Mogłoby to również umożliwić napastnikowi wmawianie poleceń powłoki, które mogą być wykonywane na serwerze sieciowym w ustawieniach projektu sendmail.

Jednak wielkie nadużycie obliguje te okolice internetowej manifestacji na stronie internetowej, że zatrudnienie PHPMailer będzie wysyłać wiadomości. Pozwala również na wprowadzanie niestandardowej lokalizacji e-mail nadawcy - lokalizacji, która wydaje się w nagłówku wiadomości e-mail od. Nie jest uzasadnione, jak regularne są takie konfiguracje, na ogół manifestacje internetowe przynoszą predefiniowane wiadomości e-mail nadawcy Również najlepiej pozwolić klientom na informowanie ich adresów e-mail Podobnie jak beneficjent.

"Wszystkie punkty w centrum Joomla API, które wysyłają pocztę, wykorzystują adres nadawcy ustawiony w ogólnoświatowej konfiguracji. Ponadto nie uważa, że ​​informacje o kliencie powinny mieć szansę znajdować się gdzie indziej", powiedział w raporcie wspólpraca bezpieczeństwa Joomla. "Jednak rozszerzenia, które pakują Różnie adaptację PHPMailera na przemian nie wykorzystują interfejsu API Joomla z wysyłaniem e-maili, mogą być bezbronne w przypadku tego problemu. ".
Deweloperzy WordPressa doszli do wniosku porównawczego, zwracając uwagę na własne narzędzie do śledzenia błędów, że wykorzystana wewnętrzna strona wp_mail () działa w kierunku centrum kodu WordPressa, na który nie ma wpływu, nie wykorzystuje bezsilnej charakterystyki PHPMailera. Wtyczki firm trzecich, które używają wp_mail (), faktycznie nie powinny hipotetycznie nie wpływać na żadną z nich, jednak wpływ na poszczególne wtyczki może być obecnie badany.

"Zbliżający się 4. 7. Przybycie 1 przyniesie wiele ulgi w tych kwestiach - powiedział Dion Hulse, główny projektant WordPress. "Przesyłamy tylko przesyłkę bezpiecznych bibliotek dla WordPressa - w każdym razie, jeśli wykorzystamy tę charakterystykę, czy nie. ".
Grupa bezpieczeństwa Drupal również przedstawiła raport bezpieczeństwa dla tego problemu. Co więcej sprawdzono, że jest krytyczny, mimo że kod centrum Drupala nie będzie miał wpływu na W końcu Tomek przegląda te niedoskonałości.

"Biorąc pod uwagę zdumiewającą krytyczność tego problemu i termin jego wypisu, jaki wydajemy. Publikacja dotycząca ogólnej administracji ludności z ostrożnością mogła wpłynąć na opiekunów Drupala", powiedziała wspomniana współpraca.

Na wstępnym osiedlu cambod można ominąć, a ogólny kod nadużycia ludności może być dostępny, te bezbronność potrzebują statusu zero-dniowego - zostanie publicznie odesłana i niezałagowana. Co więcej, bezpośredni skutek tego efektu różni się w zależności od strony internetowej, w zależności od tego, w jaki sposób PHPMailer może być używany, nie ma prostego podejścia dla webmasterów, które zwalniają problem bez dokładnej oceny.

Zakładając, że w prosty sposób wykorzystują PHPMailer Wcześniej, kod swojej strony internetowej, powinni oni dokonać przeglądu biblioteki najnowszego patchcordu, tak szybko, jak jego zwolnienie. Powinni dodatkowo wzmocnić się, aby dowiedzieć się, czy w ogóle na ich stronie kontakt, informacje zwrotne, rejestracja, reset e-mail Ponadto różne typy przekazują wiadomości dla tych pomocy bezbronnego interpretacji PHPMailer Co więcej przy założeniu, że napastnik możliwości może informacje te adresy e-mail nadawcy.

Korzystając z systemu zarządzania substancjami, powinni jeszcze bardziej wzmocnić swoją stronę pomocy, aby dowiedzieć się, czy jej wpływ był zgodny z domyślną konfiguracją. Po tym powinni oni oceniać te kołysanki dla dowolnego Na jakimkolwiek zewnętrznym wtyczce naprzemiennie moduły, których potrzebują, również wprowadzili, które mogą używać PHPMailera na własną rękę.

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!