Blog

29 decembrie 2016

PHP Mailer Liberaries omoară site-ul web în fiecare minut în care nu citești acest articol

/
Adăugată pe site de

Un cod incapacit de executare a codului de la distanță făcut PHPMailer, un standout printre mossycup stejar utilizate în mare măsură e-mail PHP trimiterea de biblioteci, ar putea seta milioane de site-uri în pericol de a pretinde hacking.

Imperfecțiunea ar fi putut fi găsită spre un specialist în securitate, numit Dawid Golunski. Mai mult, o soluție de pornire ar fi putut fi inclusă în PHPMailer 5. 2. 18, care ar fi putut fi descărcate sâmbătă. Cu toate acestea, se pare că patavium-ul ar fi putut fi inadecvat.

Biblioteca PHPMailer poate fi utilizată în mod alternativ prin implicare. În cele din urmă, Tom preia un număr semnificativ de conținut care supraveghează cadre de economie (CMS), inclusiv WordPress, Joomla și Drupal. Locul în care biblioteca nu poate fi inclusă Anterior, codul lor de centru, acesta va fi înclinat accesibil. Referitor la ilustrație Un modul separat ar putea fi ambalat alternativ cu alte programe de completare.

Din acest motiv, camuflajul acestor defecte diferă de la site-ul web cu site-ul web. De exemplu, acea cooperare în domeniul securității Joomla a dictat că acea clasă Joomla JMail, care depinde o dată de PHPMailer, necesită o validare suplimentară, care să se bazeze pe exploatarea ilogică a lipsei de apărare.

Imperfecțiunea va fi inițiată Către acceptarea insuficientă a adresei de e-mail a expeditorului De asemenea, ar putea permite unui atacator să infuzeze comenzile shell care ar putea fi executate pe serverul web în setarea proiectului sendmail.

Cu toate acestea, abuzul minunat obligă acea apropiere a unei manifestări web de pe site-ul web pe care angajații PHPMailer le va trimite mesaje. De asemenea, permite introducerea unei adrese de e-mail personalizate pentru expeditor - locația care apare în antetul de e-mail. Nu este rezonabil modul în care sunt configurate astfel de configurații, în general prin intermediul unor manifestări web, e-mailul expeditorului este predefinit. De asemenea, cei mai buni clienți ai permisului ar trebui să informeze adresa lor de e-mail, la fel ca și beneficiarul.

"Toate punctele din centrul Joomla API care trimit mail utilizează adresa expeditorului stabilită în configurația la nivel mondial. În plus, nu consideră că informațiile despre clienți ar trebui să aibă șansa de a fi situate în altă parte", a spus Joomla. "Cu toate acestea, extensiile care împachetează o adaptare diferențiată a PHPMailer alternativ nu utilizează API-ul Joomla cu e-mail trimis ar putea avea șansa de a fi lipsit de apărare în această problemă. „.
Dezvoltatorii WordPress au ajuns la o concluzie comparativă, observând pe propriul tracker de bug-uri că munca internă wp_mail () folosită spre codul central al WordPress nu poate fi influențată pe ea nu folosește caracteristica PHPMailer fără putere. Plug-in-urile terță parte care utilizează wp_mail () nu ar trebui să influențeze în mod ipotetic, dar, în prezent, controlul asupra anumitor plug-in-uri poate fi în prezent examinat.

"Apropierea 4. 7. Sosirea 1 va avea numeroase beneficii pentru aceste probleme ", a declarat Dion Hulse, designerul de la WordPress. "Suntem trimisi doar cu biblioteci securizate pentru WordPress - in orice caz daca folosim caracteristica sau nu. „.
De asemenea, grupul de securitate Drupal a stabilit un raport de securitate pentru această problemă. Ceea ce a mai verificat-o ca fiind critică, în ciuda faptului că codul centrului Drupal nu va fi influențat. În cele din urmă Tom îi perpetuează aceste imperfecțiuni.

"Având în vedere critica uimitoare pentru această problemă și calendarul de descărcare de gestiune pe care o emităm o publicație generală a administrației populației cu prudență, eventual, a influențat întreținerea site-urilor Drupal", a spus această cooperare.

La sediul introductiv, camuflarea poate fi ocolită și poate fi disponibil un cod de utilizare generală a populației, acea lipsă de apărare necesită statutul de zero zile - va fi făcut public și nu va fi atașat. În plus, un rezultat direct care diferă de la site-ul web la site-ul Web, bazându-se pe modul în care poate fi folosit PHPMailer, nu există o abordare simplă pentru webmasterii va rezolva problema fără o evaluare atentă.

Presupunând că ei utilizează PHPMailer simplu În trecut, codul site-ului lor, ei ar trebui să revizuiască biblioteca celei mai recente patchcord versify cât de repede În mod similar cu descărcarea sa. De asemenea, ar trebui să vă dați seama dacă la orice lucru pentru contactul site-ului dvs., feedback-ul, înregistrarea, resetarea e-mailului. Mai mult decât atât, diferite tipuri transmit mesaje pentru asistența unei predări fără apărare a PHPMailer Ce presupune mai mult că un posibil atacator ar putea informa acea locație de e-mail a expeditorului.

Pe baza utilizării lor, un cadru de administrare a substanțelor pe care ar trebui să-l consolideze în continuare își ponderă site-ul de ajutor pentru a-și da seama dacă influența acestuia a rămas alături de setarea implicită. După aceea, ei ar trebui să aprecieze acele influențe pentru oricine La orice plug-in-uri terțe alternativ module pe care le-au introdus De asemenea, care ar putea folosi PHPMailer pe cont propriu.

GTranslate Your license is inactive or expired, please subscribe again!