Блог

29 декабрь 2016

PHP Mailer Liberaries убивает веб-сайт каждую минуту, когда вы не читаете эту статью

/
Сообщение от

Неверный удаленный запуск кода беззащитностью, сделанный PHPMailer, выдающийся среди дуба mossycup широко использует библиотеки отправки электронной почты PHP, может установить миллионы сайтов. В опасности от требования взлома.

Возможно, было обнаружено несовершенство. К специалисту по безопасности, названному Давидом Голунски. В PHPMailer 5 могло быть включено исходное исправление. 2. 18, который, возможно, был выписан в субботу. Однако оказывается, что патавиум может быть неадекватным. Кроме того, может обойтись.

Библиотека PHPMailer может быть использована специально поочередно по импликации. В конечном итоге Том просматривает значительное количество ресурсов, контролирующих экономическую структуру (CMS), включая WordPress, Joomla и Drupal. Место, где библиотека не может быть включена. Ранее, их центральный код, он будет наклонным. См. Иллюстрацию. Отдельный модуль поочередно может быть упакован с сторонними надстройками.

Из-за этого, эти каверзные камни этого недостатка отличаются от веб-сайта с веб-сайта. Например, сотрудничество с Joomla по обеспечению безопасности диктует, что этот класс Joomla JMail, который зависит от PHPMailer, нуждается в дополнительных проверках, которые устанавливают для использования беззащитности бездействия.

Неисправность будет инициирована. В целях инсуффентного принятия информации адреса электронной почты отправителя. Также может разрешить нападающему вводить команды оболочки, которые могут выполняться на веб-сервере в настройке проекта sendmail.

Тем не менее, большое злоупотребление обязывает тех, кто находится рядом с веб-манифестацией на веб-сайте, который использует PHPMailer для отправки сообщений. Также разрешает ввод пользовательского адреса электронной почты отправителя - местоположение, которое кажется в заголовке электронной почты. Неясно, насколько регулярны такие конфигурации, в основном веб-манифестации приносят предопределенный почтовый адрес отправителя. Также лучше всего разрешить клиентам получать информацию об их адресе электронной почты. Подобно бенефициару.

«Все точки в центре API Joomla, которые отправляют почту, используют адрес отправителя, установленный во всемирной настройке. Кроме того, не следует учитывать, что информация о клиенте должна быть расположена в другом месте», - говорится в отчете о сотрудничестве в области безопасности в Joomla. «Тем не менее, расширения, которые устанавливают различную адаптацию PHPMailer поочередно, не используют API Joomla с отправленным электронным письмом, возможно, это может быть беззащитным, если эта проблема. «.
Разработчики WordPress пришли к Сравнительному заключению, отметив на своем собственном контролере ошибок, что внутренняя работа wp_mail (), используемая в отношении кода центра WordPress, не может повлиять на нее, не использует бессильную характеристику PHPMailer. Сторонние плагины, которые используют wp_mail (), фактически не должны влиять на гипотезу, но влияние на некоторые плагины может быть в настоящее время изучено.

«Ближайший 4. 7. Прибытие 1 будет иметь большое облегчение для этих вопросов », - сказал ведущий дизайнер WordPress Дион Хьюльс. «Мы отправляем только безопасные библиотеки доставки для WordPress - в любом случае, если мы используем эту характеристику или нет. «.
Группа безопасности Drupal также изложила отчет о безопасности для этой проблемы. Что еще более проверено как критическое, несмотря на то, что код центра Drupal не будет влиять. В конечном итоге Том просматривает эти недостатки.

«Учитывая удивительную критичность этой проблемы и сроки ее выпуска, мы публикуем публикацию об общей администрации населения с осторожностью, возможно, оказывая влияние на сторонников сайтов Drupal», - сказали в этом сотрудничестве.

На вводной оседающей куполообразной полости можно обойти, и общий код злоупотребления населением может быть доступен, эти беззащитность нуждаются в статусе нулевого дня - он будет публично передаваться и не передаваться. Кроме того, прямой результат, этот эффект варьируется от веб-сайта до веб-сайта, опираясь на то, как PHPMailer может быть использован, нет простого подхода для веб-мастеров, который облегчит проблему без тщательной оценки.

Предполагая, что они используют PHPMailer прямо. Раньше, код их веб-сайта, они должны перестраивать библиотеку самого последнего патч-кода, как быстро, так же как и его списание. Кроме того, им следует уделить больше внимания тому, что в любом случае для контакта своего сайта, обратной связи, регистрации, сброса электронной почты. Кроме того, различные типы передают сообщения для помощи беззащитного исполнения PHPMailer. Более того, предполагая, что потенциальный нападающий может сообщить о местонахождении адреса отправителя.

На их использовании структура управления веществами, которую они должны укрепить, взвесить свой веб-сайт помощи, чтобы выяснить, повлияло ли его влияние на его настройку по умолчанию. После этого они должны оспаривать те, которые влияют на них. На каких-либо сторонних плагинах поочередно модули, которые им нужно ввести. Также, которые могут использовать PHPMailer самостоятельно.

GTranslate Your license is inactive or expired, please subscribe again!