บล็อก

29 ธันวาคม 2016

PHP Mailer Liberaries ฆ่าเว็บไซต์ทุกๆนาทีที่คุณไม่ได้อ่านบทความนี้

การทำงานของรหัสที่ไร้เดียงสาในการเรียกใช้โค้ดจากระยะไกลทำให้ PHPMailer ซึ่งเป็นจุดเด่นของโอ๊คที่ใช้มอสไซด์ได้ใช้ PHP ในการส่งอีเมลล์ห้องสมุดอาจทำให้ไซต์นับล้าน ๆ แห่งในอันตรายจากการอ้างสิทธิ์ในแฮ็ก

ความผิดพลาดอาจพบกับผู้เชี่ยวชาญด้านความปลอดภัยชื่อ Dawid Golunski มีอะไรเพิ่มเติมในการแก้ไขปัญหาเริ่มต้นอาจรวมอยู่ใน PHPMailer 5 2 18 ซึ่งอาจได้รับการปลดปล่อยในวันเสาร์ อย่างไรก็ตามปรากฎว่า patavium อาจไม่เพียงพอนอกจากนี้อาจทำให้อ้อมได้

ห้องสมุด PHPMailer อาจถูกนำมาใช้โดยเฉพาะอย่างยิ่งสลับกันโดยนัยในที่สุด Tom's perusing เนื้อหาจำนวนมากดูแลกรอบเศรษฐกิจ (CMSs) ได้แก่ WordPress, Joomla และ Drupal สถานที่ห้องสมุดอาจไม่ได้รวมไว้ก่อนหน้านี้รหัสศูนย์ของพวกเขาจะเอียงเข้าถึงได้เกี่ยวกับภาพประกอบโมดูลแยกอาจจะบรรจุด้วย add-on ของ บริษัท อื่น

ด้วยเหตุนี้ข้อบกพร่องของกล้องส่องทางไกลเหล่านี้จึงแตกต่างไปจากเว็บไซต์ที่มีเว็บไซต์ ตัวอย่างเช่นความร่วมมือด้านความปลอดภัยของ Joomla ดังกล่าวบอกว่าคลาส JMail ของ Joomla ซึ่งขึ้นอยู่กับ PHPMailer เพียงครั้งเดียวจำเป็นต้องมีการตรวจสอบความถูกต้องมากขึ้นซึ่งจะใช้ประโยชน์จากความไร้สมรรถภาพที่ไร้เหตุผล

ความไม่สมบูรณ์จะเริ่มต้นไปสู่การรับข้อมูลที่อยู่อีเมลของผู้ส่งข้อมูลไม่ถูกต้องนอกจากนี้ยังอนุญาตให้ผู้โจมตีสามารถใส่คำสั่งของเชลล์ที่อาจถูกเรียกใช้บนเว็บเซิร์ฟเวอร์ในการตั้งค่าโครงการ sendmail

อย่างไรก็ตามการละเมิดที่ยิ่งใหญ่บังคับให้บริเวณใกล้เคียงของการสำแดงทางเว็บบนเว็บไซต์ที่มีการจ้างงาน PHPMailer จะส่งข้อความนอกจากนี้ยังอนุญาตให้ป้อนที่ตั้งอีเมลที่กำหนดเองซึ่งเป็นที่ตั้งที่ดูเหมือนจากส่วนหัวของอีเมล ไม่สมเหตุสมผลว่าการกำหนดค่าดังกล่าวเป็นปกติอย่างไรโดยทั่วไปแล้วการแสดงออกทางเว็บทำให้ผู้ส่งอีเมลถูกกำหนดไว้ล่วงหน้านอกจากนี้ลูกค้าที่ได้รับใบอนุญาตควรแจ้งข้อมูลที่อยู่อีเมลของตนในทำนองเดียวกันกับผู้รับประโยชน์

"จุดทั้งหมดในศูนย์ Joomla API ที่ส่งจดหมายใช้ที่อยู่ผู้ส่งที่ตั้งอยู่ในการตั้งค่าทั่วโลกนอกจากนี้ยังไม่พิจารณาข้อมูลลูกค้าควรมีโอกาสที่จะตั้งอยู่ที่อื่น" ความร่วมมือด้านความปลอดภัย Joomla กล่าวว่าสำหรับรายงาน "อย่างไรก็ตามส่วนขยายที่แพ็คการปรับตัวที่แตกต่างกันของ PHPMailer สลับกันไม่ได้ใช้ Joomla API กับอีเมลส่งอาจมีโอกาสที่จะป้องกันตัวเองควรปัญหานี้ “
นักพัฒนา WordPress มาถึงข้อสรุปเปรียบเทียบโดยสังเกตจากตัวติดตามบั๊กของตนเองว่างานภายในของ wp_mail () ที่ใช้ไปยังโค้ดศูนย์ WordPress อาจไม่ได้รับผลกระทบโดยไม่ใช้คุณลักษณะ PHPMailer ไม่มีอำนาจ ปลั๊กอินของ บริษัท อื่นที่ใช้ wp_mail () ควรมีสมมุติฐานในเรื่องนี้ไม่ได้ส่งผลกระทบใด ๆ แต่อาจมีการตรวจสอบปลั๊กอินโดยเฉพาะอย่างยิ่ง

"ใกล้ 4 7 การมาถึง 1 จะช่วยบรรเทาปัญหาเหล่านี้ได้เป็นอย่างมาก "นักออกแบบนำ Dion Hulse จาก WordPress กล่าว "เราส่งมาพร้อมกับการจัดส่งไลบรารีที่ปลอดภัยสำหรับ WordPress - ในกรณีใด ๆ หากเราใช้คุณลักษณะนี้หรือไม่ “
กลุ่มรักษาความปลอดภัยของ Drupal ได้วางรายงานความปลอดภัยสำหรับปัญหานี้ไว้ด้วยจะมีการตรวจสอบว่ามีความสำคัญยิ่งกว่าแม้ว่ารหัสศูนย์ของ Drupal จะไม่ได้รับผลกระทบในที่สุดทอมก็กำลังอ่านความไม่สมบูรณ์เหล่านั้น

"ความสำคัญที่น่าอัศจรรย์สำหรับปัญหานี้และระยะเวลาในการจำหน่ายสินค้าที่เรากำลังเผยแพร่สิ่งพิมพ์บริหารงานบุคคลโดยทั่วไปด้วยความระมัดระวังอาจส่งอิทธิพลต่อผู้ดูแลเว็บไซต์ Drupal" ความร่วมมือดังกล่าวกล่าว

ในกรณีที่มีการใช้รหัสลับที่ผิดพลาดและรหัสผ่านทั่วไปอาจมีให้ใช้งานการป้องกันตัวเองเหล่านี้จำเป็นต้องมีสถานะเป็นศูนย์ - จะมีการอ้างถึงและไม่ได้รับการเผยแพร่ต่อสาธารณชน นอกจากนี้ผลโดยตรงที่มีผลแตกต่างกันไปในแต่ละเว็บไซต์โดยขึ้นอยู่กับว่า PHPMailer สามารถใช้งานได้มีวิธีใดที่ง่ายสำหรับเว็บมาสเตอร์จะช่วยลดปัญหาได้โดยไม่ต้องมีการประเมินอย่างรอบคอบ

สมมติว่าพวกเขาใช้ PHPMailer ตรงไปตรงมาก่อนหน้านี้รหัสเว็บไซต์ของพวกเขาควรยกเครื่องห้องสมุดของ patchcord ล่าสุดเมื่อเร็ว ๆ นี้เช่นเดียวกับที่ปล่อยออกมา นอกจากนี้ยังมีรูปแบบต่างๆในการถ่ายทอดข้อความสำหรับความช่วยเหลือของการกระทำที่ไร้ข้อกังขาของ PHPMailer สิ่งที่มากกว่าสมมติว่าผู้โจมตีที่เป็นไปได้สามารถระบุตำแหน่งอีเมลผู้ส่งเหล่านั้นได้

ในการใช้กรอบการบริหารสารพวกเขาควรให้ความสำคัญกับการชั่งน้ำหนักช่วยเว็บไซต์ของตนในการพิจารณาว่าจะมีอิทธิพลต่อการตั้งค่าเริ่มต้นของ หลังจากที่พวกเขาควรจะ asses ผู้แกว่งสำหรับใด ๆ ที่สิ่งที่ปลั๊กอินของบุคคลที่สามสลับโมดูลที่พวกเขาต้องการแนะนำซึ่งอาจใช้ PHPMailer ด้วยตัวเอง

&bsp

GTranslate Your license is inactive or expired, please subscribe again!