блог

29 дец КСНУМКС

ПХП Маилер либерари убија веб сајт сваке минуте да не читате овај чланак

/
Поставио

Направљен је невероватан програм за одбрану кодова на удаљеном коду ПХПМаилер, изостанак међу моссицуповим храстом широко искоришћеним ПХП библиотекама за слање е-поште, Можда је поставио милионе сајтова У опасности од тврдње о хакирању.

Можда је пронађен несавршеност. У вези са специјалистом безбедности под именом Давид Голунски. Још један почетни исправак можда је укључен у ПХПМаилер КСНУМКС. КСНУМКС. КСНУМКС, који је можда био испуштен у суботу. Међутим, испоставља се да је патавиј можда био неадекватан. Осим тога, могао би се заобићи.

Библиотека ПХПМаилер може се искористити наизменично имплицитно. Том приликом је Том обављао значајан број садржаја за контролу садржаја, укључујући и ВордПресс, Јоомла Алсо Друпал. Место у коме библиотека можда није укључена Пре тога, њихов центарски код ће бити доступан на располагању. У вези са илустрацијом Посебан модул наизменично може бити упакован са додатком трећих страна.

Захваљујући томе, ова помична шипка се разликује почевши од веб странице са вебсајтом. На пример, та сарадња са Јоомла безбедношћу је диктирала да она класа Јоомла ЈМаил, која зависи од ПХПМаилер-а, захтева додатне потврде које се постављају на нелогичну експлоатацију безбједности.

Неправилност ће бити покренута У случају неупотребе прихватања информација о пошиљаоцима е-поште. Такође би се омогућило да нападач убаци команде схелл-а које се могу извршити на веб серверу у поставци пројекта сендмаил.

Међутим, велико злостављање обавезује на близину веб манифестације на сајту да ће запошљавања ПХПМаилер послати поруке Такође дозвољава унос одређене локације е-поште пошиљаоца - локацију која се налази у наслову е-поште. Није разумно колико су регуларне такве конфигурације, уопштено, на веб-манифестацијама донијети е-маил адресу пошиљатеља. Такође, најбоље дозволе клијентима треба да информишу своју е-адресу. Слично као Корисник.

"Сви спотови у центру Јоомла АПИ-а који шаљу пошту користе адресу пошиљаоца постављену у сетовима широм света. Штавише, подаци о клијентима не сматрају се шансама да се налазе на другим местима", рекла је Јоомла безбедносна сарадња за извештај. "Међутим, екстензије које се пакују Диференцијална прилагођавања ПХПМаилера наизменично не користе Јоомла АПИ са слањем е-поште могу бити шансе да буду безобзирни ако би ово требало да се деси. ".
ВордПресс програмери стигли су до Компаративног закључка, наглашавајући на свом сопственом трагачу грешке да унутрашњи рад вп_маил () који се користи коришћењем Код ВордПресс центра не може утицати на то да не користи моћну ПХПМаилер карактеристику. Плуг-ини независних произвођача који користе вп_маил () ефектно не би требало да утичу на хипотетички утицај, иако се тренутно могу испитати одређени додатци.

"Приближавајући КСНУМКС. КСНУМКС. Долазак КСНУМКС-а ће имати бројне олакшице за ова питања ", рекао је дизајнер водећег ВордПресса Дион Хулсе. "Поднели смо само достављање сигурних библиотека за ВордПресс - у сваком случају ако користимо карактеристику или не. ".
Друпалова сигурносна група такође је поставила извештај о безбедности за ово питање. Што је више проверено као критичко, упркос чињеници да Друпал центарски код неће бити под утицајем. На крају Том размишља о тој несавршености.

"Имајући у виду невероватну критичност за ово питање и временски распоред о његовом пражњењу, објављујемо Општу публикацију о популационој администрацији са опрезом, евентуално под утицајем Друпал одржавача сајта", рекла је та сарадња.

На уводном решењу кампера може бити заобиђена и кодекс опште употребе популације може бити доступан, та безазленост захтева статус нултог дана - она ​​ће бити јавно упућена и отпуштена. Осим тога, директан резултат таквог ефекта варира од веб странице до веб странице, ослањајући се на то како се ПХПМаилер може користити, не постоји једноставан приступ за вебмастере који ће ослободити проблем без пажљиве процјене.

Под претпоставком да су њихова употреба ПХПМаилер директно раније, код њиховог веб сајта требало би да поправи библиотеку најскоријег патцхцорд-а тако брзо да се упозори на сличан начин као и да је отпуштен. Они би требали додатно потакнути и утврдити да ли је на било чему за контакт свог сајта, повратне информације, регистрација, ресетовање е-поште. Поред тога, различити типови преносе поруке за помоћ безбрижне извођења ПХПМаилера. Што више претпостављају да би нападач могао да информира локацију те адресе е-поште.

Када би користили оквир за администрацију супстанци, они би требали додатно подстицати тежину своје веб странице за помоћ, сазнајући да ли је њен утицај учествовао заједно са својим подразумеваним подешавањем. После тога они би требали процењивати оне који желе за било шта На било ком независним плуг-инс-у наизмјенично модулима који су им потребни. Такође, који могу сами користити ПХПМаилер.

Оставите одговор

GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!