Blogg

29 december 2016

PHP Mailer Liberaries Döda webbplats varje minut läser du inte den här artikeln

/
Postat av

En otroligt extern kodkörning utförd försvarslöshet gjort PHPMailer, en standout bland mossycup-eken, som i stor utsträckning används för PHP-sändningsbibliotek, kan ställa in miljontals webbplatser som riskerar att hävda hacking.

Ofullkomligheten kan ha hittats Toward En säkerhetsspecialist vid namn Dawid Golunski Dessutom kan en startfix vara inbyggd i PHPMailer 5. 2. 18, som kanske har släppts ut lördag. Det visar sig dock att pataviet kanske har varit otillräckligt. Vidare kan det bli förbjudet.

PHPMailer-biblioteket kan användas specifikt växelvis med implikation. Eventuellt tar Tom ett betydande antal innehållsövervakningsekonomiska ramar (CMS) inklusive WordPress, Joomla Drupal. Platsen biblioteket kanske inte ingår Tidigare, deras centrumkod, kommer den vara benägen tillgänglig Om illustration En separat modul kan växelvis packas med tillägg från tredje part.

På grund av detta skiljer sig dessa fel sway camwood börjar med webbplats med webbplats. Till exempel dikterade de Joomla-säkerhetssamarbetet att de Joomla JMail-klasserna, som en gång beror på PHPMailer, behöver extra valideringar som upprättas för att utnyttja oskyddad försvarslöshet.

Ofullkomligheten kommer att initieras Mot insufflate accept av avsändarens e-postadressinformation kan det också tillåtas att en angripare infiltrar skalkommandon som kan utföras på webbservern i inställningen för sendmail-projektet.

Stora missbruk förplikter emellertid den närheten till en web manifestation på webbplatsen som anställda PHPMailer kommer att skicka meddelanden tillåter också inmatning av en anpassad avsändare email plats - den plats som verkar i den från e-postrubrik. Det är inte rimligt hur vanliga sådana konfigurationer är, på vanligtvis webbsändningar ger avsändarens e-post fördefinierade. Även bästa tillståndskunder ska informera sin e-postadress på samma sätt som En mottagare.

"Alla fläckar i centrum Joomla API, som skickar post, använder avsändaradressen i den globala inställningen. Dessutom anser inte kundinformation vara en chans att ligga någon annanstans", sa Joomla säkerhetssamarbete för en rapport. "Men förlängningar som packar En differentierad anpassning av PHPMailer växelvis använder inte Joomla API med skickad e-post kan det vara en chans att vara försvarslös bör det här problemet. ”.
WordPress-utvecklarna anlände till en jämförande slutsats, och noterade sig på egen buggspårare att det interna wp_mail () -arbetet som används mot WordPress-centerkoden inte kan påverkas om det inte utnyttjar den kraftlösa PHPMailer-karaktäristiken. Tredjeparts plugin-program som använder wp_mail () effektivt borde inte hypotetiskt påverkas heller, men svängningen till vissa plugin-program kan för närvarande undersökas.

"Den närmar sig 4. 7. 1 ankomst kommer att hålla många lättnader för dessa problem, säger WordPress ledande designer Dion Hulse. "Vi skickas in med bara leverans säkra bibliotek för WordPress - i alla fall för om vi utnyttjar egenskapen eller inte. ”.
Drupal-säkerhetsgruppen utfärdar också En säkerhetsrapport för detta problem Vad som mer kontrolleras som kritisk, trots att Drupal-centrumkoden inte kommer att påverkas. Till slut förstår Tom den imperfektionen.

"Med tanke på den fantastiska kritiken för denna fråga och tidpunkten för dess utsläpp utfärdar vi en allmän publikationspublikation med försiktighet, som eventuellt påverkar Drupal-webbplatsen, säger samarbetet.

På den inledande bosättningen avlägsnas camwood och generell missbrukskod kan vara tillgänglig, behöver dessa försvarslösningar nolldagars status - det kommer att vara offentligt hänvisat till och ompaket. Vidare, ett direkt resultat varierar effekten från webbplats till hemsida, beroende på hur PHPMailer kan användas, det är inte enkelt att webmasters lättare kommer att avhjälpa problemet utan noggrann bedömning.

Förutsatt att de använder PHPMailer direkt. Tidigare, deras hemsida kod, de borde översyna biblioteket med den senaste patchcordversionen så snabbt som på samma sätt som det släpptes. De borde ytterligare förstärka även om de oavsett om deras webbplats kontaktar, återkoppling, registrering, e-poståterställning. Dessutom ger olika typer av meddelanden för hjälp av en försumlig överlämning av PHPMailer. Vad mer antas att En möjlighet som angriper kan innehålla information om avsändarens e-postadress.

När de använder en substansadministrationsram, bör de vidareutveckla väga hjälpwebbsidan för att ta reda på om det påverkas vid sidan av standardinställningen. Efter det borde de hävda dessa svängningar för någon. Oavsett vilken tredjeparts plug-ins alternativt moduler som de behöver introduceras. Vilka kan använda PHPMailer på egen hand.

Lämna ett svar

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!