Blog

29 Dez 2016

PHP Mailer Liberaries Mata o site a cada minuto que você não lê este artigo

Uma incrível remoção de execução de código remoto indefesa feita PHPMailer, um destaque entre o carvalho de musgo amplamente utilizado bibliotecas de envio de e-mail PHP, pode configurar milhões de sites em risco de reivindicar hacking.

A imperfeição pode ter sido encontrada em direção a um especialista em segurança chamado Dawid Golunski. O que é mais uma correção inicial pode ter sido incorporada no PHPMailer 5. 2. 18, que pode ter sido descarregado no sábado. No entanto, verifica-se que o patavium pode ter sido inadequado Além disso, pode fazer bypassed.

A biblioteca PHPMailer pode ser utilizada especificamente de forma alternativa, por implicação Eventualmente, Tom está lendo um número significativo de estruturas de economia de conteúdo (CMSs), incluindo WordPress, Joomla e Drupal. O local onde a biblioteca pode não estar incluída Anteriormente, seu código central, será inclinado como acessível. Com relação à ilustração Um módulo separado alternadamente pode ser empacotado com complementos de terceiros.

Devido a isso, a oscilação da falha é diferente do website com o site. Por exemplo, a cooperação em segurança do Joomla ditava que as classes Joomla JMail, que dependem do PHPMailer, precisam de validações extras que se ajustem à exploração ilógica do indefeso.

A imperfeição será iniciada Para a aceitação insuficiente da informação do endereço de e-mail do remetente Também poderia permitir que um agressor infunde comandos de shell que possam ser executados no servidor da web na configuração do projeto sendmail.

No entanto, um grande abuso obriga a vizinhança de uma manifestação da Web no site que os empregos PHPMailer irá enviar mensagens também permite a entrada de um local de e-mail remetente personalizado - o local que parece no cabeçalho de e-mail. Não é razoável o quão regulares tais configurações são, em geral, as manifestações da Web trazem o email do remetente predefinido. Também é melhor permitir que os clientes informem seus endereços de email da mesma forma como um beneficiário.

"Todos os pontos no centro da API do Joomla que enviam e-mail utilizam o endereço do remetente definido na configuração mundial. Além disso, não considera a informação do cliente uma oportunidade de estar situada em outro lugar", disse a Joomla. “No entanto, extensões que pack Uma adaptação diferenciada do PHPMailer alternadamente não utilizar a API do Joomla com o envio de e-mail pode ser uma chance de estar indefeso se este problema. “.
Os desenvolvedores do WordPress chegaram a uma conclusão comparativa, observando em seu próprio bug tracker que o trabalho interno wp_mail () utilizado para o código central do WordPress pode não ser influenciado por ele não utilizar a característica impotente do PHPMailer. Plug-ins de terceiros que usam wp_mail () efetivamente hipoteticamente não devem influenciar, mas a influência de plug-ins específicos pode estar sendo examinada no momento.

“A aproximação do 4. 7. A chegada do 1 trará um grande alívio para esses problemas ”, disse o designer-chefe do WordPress, Dion Hulse. “Somos enviados apenas com o envio de bibliotecas seguras para o WordPress - em qualquer caso, se utilizarmos a característica ou não. “.
O grupo de segurança do Drupal também estabeleceu um relatório de segurança para esse problema. O que é mais verificado é crítico, apesar do fato de que o código do centro do Drupal não será influenciado Eventualmente, Tom está examinando essas imperfeições.

"Dada a incrível criticidade para esta questão e o momento sobre a sua descarga estamos emitindo uma publicação da administração geral da população com cautela possivelmente influenciado mantenedores do site Drupal", disse a cooperação.

No assentamento introdutório, o código pode estar disponível, e o código de uso indevido da população em geral pode estar disponível, aqueles desprotegidos precisam do status de dia zero - serão publicamente referidos e não corrigidos. Além disso, um resultado direto desses efeitos varia de site para site, dependendo de como o PHPMailer pode ser usado, não há abordagem simples para webmasters vai aliviar o problema sem uma avaliação cuidadosa.

Assumindo que eles usam PHPMailer diretamente Anteriormente, o código do seu site, eles deveriam revisar a biblioteca do patchcord mais recente, tão rapidamente quanto a sua descarga. Eles devem reforçar ainda mais descobrir se para o seu site de contato, feedback, registro, redefinir e-mail Além disso, diferentes tipos transmitem mensagens para aqueles assistência de uma versão indefesa de PHPMailer O que é mais assumindo que um assaltante de possibilidade poderia informações a localização do remetente e-mail.

Com a utilização de uma estrutura de administração de substância, eles devem continuar a aumentar o seu site de ajuda para descobrir se sua influência foi garantida ao lado de sua configuração padrão. Depois disso, eles devem avaliar as influências de qualquer tipo de qualquer plug-ins de terceiros, alternadamente, módulos que eles precisam também. Além disso, o que pode usar o PHPMailer por conta própria.

GTranslate Your license is inactive or expired, please subscribe again!