Blog

29 Dhjetor 2016

PHP Mailer Liberaries Vret faqen e internetit çdo minutë që nuk e lexoni këtë artikull

/
postuar Nga

Një incizim i largët i ekzekutimit të kodit të largët i bërë PHPMailer, një shquar në mesin e dushkut të mossycup përdorur gjerësisht PHP dërgimin e-mail bibliotekat, Mund të vendosur miliona vende Në rrezik nga pretendimet hacking.

Përfundimi mund të jetë gjetur Drejt një specialist të sigurisë të quajtur Dawid Golunski Për më tepër një rregullim fillestar mund të jetë inkorporuar në PHPMailer 5. 2. 18, e cila mund të shkarkohet të shtunën. Megjithatë, del se pataviumi mund të ketë qenë i papërshtatshëm Për më tepër, mund të anashkalohet.

Biblioteka PHPMailer mund të përdoret në mënyrë të veçantë alternuar nga implikimet. Përfundimisht, Tom-i është duke parë një numër të konsiderueshëm përmbajtjesh të mbikëqyrur të ekonomisë (CMS), duke përfshirë WordPress, Joomla edhe Drupal. Vendndodhja e bibliotekës mund të mos jetë e përfshirë Më parë, kodi i tyre i qendrës, do të jetë i pranishëm i përshtatshëm Për sa i përket ilustrimeve Një modul i veçantë në mënyrë alternative mund të paketoheshin me shtesa të palëve të treta.

Për shkak të kësaj, camblloja e atyre krimeve të gabuara ndryshojnë duke filluar me faqen e internetit me faqen e internetit. Për shembull, ato bashkëpunime në sigurinë Joomla diktuan se ato klasa Joomla JMail, e cila varet dikur nga PHPMailer, kanë nevojë për vlefshmërime shtesë të vendosura për të shfrytëzuar paaftësinë e paligjshme.

Padrejtësia do të fillojë Drejt pranimit insufflate të informacionit të adresës së emailit të dërguesit Gjithashtu mund të lejojë që një sulmues të depërtojë komandat e skemës që mund të ekzekutohen në web server në vendosjen e projektit sendmail.

Megjithatë, abuzimi i madh detyron ato afërsinë e një manifestimi në web në faqen e internetit që punësimet PHPMailer do të dërgojë mesazhe Gjithashtu lejon futjen e një vendili email dërgues me porosi - vendndodhjen që duket në nga header e-mail. Nuk është e arsyeshme se sa konfigurime të rregullta janë të tilla, në përgjithësi manifestimet e internetit sjellin email-in e dërguesit të paracaktuar Gjithashtu klientët më të mirë të lejes duhet të informojnë adresën e tyre të internetit në mënyrë të ngjashme si Një Përfitues.

"Të gjitha pikat në qendër të Joomla API që dërgojnë mail përdorin adresën e dërguesit të vendosur në konfigurimin mbarëbotëror Gjithashtu nuk e konsiderojnë informacionin e klientit duhet një shans për t'u vendosur diku tjetër," tha bashkëpunimi i sigurisë Joomla për një raport. "Megjithatë, zgjerimet që paketojnë Një përshtatje e diferencuar e PHPMailer alternuar nuk përdorin Joomla API me dërgimin e emailit mund të ketë një shans për të qenë i pambrojtur nëse kjo çështje. ".
Zhvilluesit e WordPress arritën në një konkluzion krahasues, duke vënë në dukje në gjurmuesin e tyre të bug-it se përdorimi i brendshëm i wp_mail () Drejt kodit të qendrës WordPress mund të mos ndikohen në të nuk shfrytëzon karakteristikat e pafavorshme PHPMailer. Shtojcat e palëve të treta që përdorin wp_mail () në mënyrë efektive nuk duhet të ndikohen në mënyrë hipotetike, por akoma ndikimet në plug-ins të veçanta mund të jenë në shqyrtim.

"4 i afrohet. 7. Arritja e 1 do të ketë lehtësim të mjaftueshëm për këto çështje, "tha dizajni kryesor i WordPress, Dion Hulse. "Ne jemi të dorëzuar vetëm me biblioteka të sigurta të transportit për WordPress - në çdo rast nëse ne përdorim karakteristikën apo jo. ".
Grupi i sigurisë i Drupal gjithashtu ka vendosur një raport të sigurisë për këtë çështje. Çka është më shumë e kontrolluar si kritike, pavarësisht faktit se kodi i qendrës së Drupal nuk do të ndikohet. Përfundimisht, Tom-i është duke parë ato papërsosmëri.

"Duke pasur parasysh kritikën e mahnitshme për këtë çështje dhe kohën në lidhje me shkarkimin e saj ne po lëshojmë një botim të përgjithshëm të administratës së popullsisë me kujdes që mund të ndikonte në mbajtësit e faqes së Drupal," thanë ata bashkëpunim.

Në kodimin hyrës duhet të anashkalohet dhe kodi i përgjithshëm i keqpërdorimit të popullsisë mund të jetë i disponueshëm, këto pandërgjegjshmëri kanë nevojë për statusin zero-ditor - do të referohen publikisht dhe pa pagesë. Për më tepër, një rezultat i drejtpërdrejtë që ato ndryshojnë nga faqja në faqen e internetit, duke u mbështetur në mënyrën se si PHPMailer mund të përdoret, nuk ka qasje të thjeshtë për webmasters do ta lehtësojë çështjen pa një vlerësim të kujdesshëm.

Duke supozuar se ata përdorin PHPMailer drejtpërdrejt Më parë, kodin e internetit të tyre, ata duhet të rishikojnë bibliotekën e patchcord më të fundit versify sa më shpejt në mënyrë të ngjashme me atë të shkarkohet. Ata duhet të forcojnë më tej edhe të kuptojnë nëse Në çdo gjë për kontakt faqen e tyre, reagime, regjistrimi, reset email Për më tepër lloje të ndryshme të përcjellë mesazhe për ato ndihmë të një pasqyrim të pambrojtur të PHPMailer Çfarë është më duke supozuar se një sulmues mundësia mund të informojë ata vendndodhjen email dërguesit.

Në përdorimin e një kuadri të administrimit të substancave ata duhet të rritin më tej peshën e faqes së saj të ndihmës për të kuptuar nëse ndikimi i tij është i lidhur së bashku me konfigurimin e tij të paracaktuar. Pas kësaj ata duhet të vlerësojnë ata që ndikojnë për çdo Në çdo plug-ins palës së tretë alternuar module që ata kanë nevojë të futur Gjithashtu të cilat mund të përdorin PHPMailer më vete.

Lini një Përgjigju

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!