Blog

29 december 2016

PHP Mailer Liberaries Ubija spletno mesto vsako minuto, ko ne berete tega članka

Nepredvidljivo oddaljeno izvajanje kod brez zaščite naredi PHPMailer, standout med mossycup hrastom široko uporablja PHP email pošiljanje knjižnic, lahko nastavite na milijone spletnih mest V nevarnosti, da zahtevajo taksist.

Morda je bilo ugotovljeno, da je prišlo do neskladja. V zvezi z varnostnim strokovnjakom, imenovanim Dawid Golunski, je bilo v PHPMailer 5 vključeno začetno popravljanje. 2. 18, ki je bil morda izpraznjen v soboto. Vendar pa se izkaže, da je bil patavij morda neustrezen. Poleg tega bi se lahko obvodil.

Knjižnica PHPMailer se lahko uporablja posebej izmenično z implicitnimi posledicami. Včasih je Tom preiskoval pomembne vsebine s številnimi vsebinami, vključno z WordPress, Joomla in Drupal. Mesto, v katerem se knjižnica ne more vključiti Prej, njihova središčna koda, bo nagnjena k dostopu. V zvezi z ilustracijo Na drugem modulu se lahko izmenično pakirajo z dodatki tretjih oseb.

Zaradi tega se ta pomanjkljiva lebdeča kamnina razlikuje od spletne strani s spletno stranjo. Na primer, ta varnostno sodelovanje Joomla je narekovalo, da je tisti razred Joomla JMail, ki je odvisen od PHPMailer, potreboval dodatne potrditve, ki se postavljajo na nelogično izkoriščanje defenselessnessa.

Nepravilnost se bo začela Kljub nezadostnemu sprejemanju informacij o pošiljateljevem e-poštnem naslovu Prav tako bi lahko dovolil, da napadalec nabira ukaze lupine, ki se lahko izvajajo na spletnem strežniku v nastavitvi projekta sendmail.

Vendar pa velika zloraba zavzema bližino spletne manifestacije na spletnem mestu, da bodo zaposlitve PHPMailer pošiljali sporočila. Omogoča tudi vnos e-poštne lokacije pošiljatelja po meri - lokacijo, ki se zdi v naslovu e-pošte. Ni razumno, kako redne so takšne konfiguracije, na običajnih spletnih manifestacijah prinašajo elektronsko pošto pošiljatelja. Tudi najboljše dovoljenje, da morajo stranke informacije o svojem e-poštnem naslovu. Podobno kot upravičenec.

"Vsi piki v središču API Joomla API, ki pošiljajo pošto, uporabljajo naslov pošiljatelja, določen v svetovni namestitvi. Poleg tega meni, da informacije o strankah ne bi smele biti drugod drugod," je dejal poročilo za varnostno sodelovanje Joomla. "Vendar pa razširitve, ki jih pakiranje Različno prilagajanje PHPMailer izmenično ne uporablja Joomla API s pošiljanjem e-pošte, bi lahko bila priložnost, da se brez zaščite, če to vprašanje. ".
Razvijalci programa WordPress so prišli do primerjalnega zaključka, pri čemer opozarjajo na lasten sledilnik napak, da na notranje delo wp_mail (), ki je uporabljeno proti centru za kodo WordPress, ni mogoče vplivati ​​na to, ne uporablja nemočne lastnosti PHPMailer. Dodatki drugih proizvajalcev, ki uporabljajo wp_mail (), ne bi smeli hipotetično vplivati, vendar je trenutno lahko podvržen vpliv na določene vtičnike.

"Približno 4. 7. 1 prihod bo imel številne olajšave za te probleme, "je dejal oblikovalec vodilnega programa WordPress Dion Hulse. "Mi smo predložili s samo pošiljanjem varnih knjižnic za WordPress - v vsakem primeru, če uporabljamo značilnosti ali ne. ".
Drupalova varnostna skupina je prav tako določila varnostno poročilo za to težavo. Še več je preverjalo, da je to kritično, kljub dejstvu, da Drupalova središčna koda ne bo vplivala. Sčasoma bo Tom to perfekcioniral.

"Glede na presenetljivo kritičnost tega vprašanja in čas za njegovo razrešitev izdajamo publikacijo Splošne populacijske uprave s previdnostjo, ki bi lahko vplivala na vzdrževalce strani Drupal," je dejal to sodelovanje.

Na uvodnem naselju se lahko obkroža kamnita in splošna napačna uporaba populacijske kode, zato je za te defenselessness potrebno ničelni status - javno se bo sklicevalo in odpremljeno. Poleg tega je neposredni učinek ta učinek različen od spletne strani do spletnega mesta, pri čemer se opira na to, kako se PHPMailer lahko uporablja, ni pa preprost pristop, ki bi ga webmastere rešili brez skrbnega ocenjevanja.

Ob predpostavki, da je uporaba PHPMailer enostavno Prej, kodo njihove spletne strani, bi morali prenoviti knjižnico najnovejšega patchcord hitro razložiti podobno kot je izpraznjen. Poleg tega bi morali ugotoviti, ali je pri kakršnemkoli stiku z njihovim spletnim mestom, povratnimi informacijami, registracijo in e-poštnim ponastavitvam poleg tega različne vrste sporočajo sporočila za pomoč pri brezpogojni izvedbi PHPMailer. Še več, ob predpostavki, da bi možnost, ki jo je napadalec napadel, lahko informacije o tej lokaciji pošiljatelja pošiljatelja.

Ko bodo uporabili okvir za upravljanje s snovmi, bi morali še naprej okrepiti svojo spletno stran za pomoč in ugotoviti, ali je vpliv, ki ga je imel, skupaj s privzeto nastavitvijo. Po tem bi morali ovrednotiti tiste, ki se zavirajo za vse. Na kakršnihkoli vtičnikih tretjih oseb, ki jih izmenjujejo moduli, ki jih potrebujejo. Tudi sami, ki bi lahko uporabljali PHPMailer.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!