Blog

29 Aralık 2016

Bu makaleyi okumadığın her dakika, PHP Mailer Liberaries Kills web sitesini

/
Tarafından gönderildi

PHPMailer yapılan bir inanılmaz uzaktan kod yürütme savunmasızlık, mossycup meşe arasında bir göze çarpan PHP e-posta gönderme kütüphaneleri geniş kullanarak, Korsanlık iddia eden tehlikesiyle milyonlarca site ayarlayın.

Kusurluluk, Dawid Golunski adlı bir güvenlik uzmanına doğru bulunabilir. Daha fazla bilgi PHPMailer 5'e dahil edilmiş olabilir. 2. 18, cumartesi günü taburcu edilmiş olabilir. Bununla birlikte, pataviumun yetersiz olabileceği ortaya çıkmaktadır. Ayrıca baypas edilebilmektedir.

PHPMailer kütüphanesi, WordPress, Joomla Also Drupal dahil olmak üzere, önemli sayıda içerikli ekonomi çerçevelerini (CMS'ler) göz önünde bulundurarak, dolaylı olarak, her defasında, gerçek zamanlı olarak, dolaylı olarak Tom'un faydalanılarak kullanılabilir. Kütüphanenin yeri eklenmemiş olabilir Önceden, merkez kodu, eğimli olarak erişilebilir olacaktır. Örnekle ilgili olarak. Başka bir modül alternatif olarak üçüncü taraf eklentileriyle paketlenebilir.

Bu nedenle, bu kusurlu kambur kameri, web sitesiyle web sitesiyle başlıyor. Örneğin, bu Joomla güvenlik işbirliği, bir kez PHPMailer'e bağlı olan Joomla JMail sınıfının, savunmasızlığı mantıksız bir şekilde sömürmeye dayanan ek doğrulamalara ihtiyaç duyduğunu belirtti.

Kusurluk başlatılacaktır Gönderen e-posta adresi bilgilerinin inspole kabulüne doğru Ayrıca bir saldırganın, web sunucusunda gönderilecek kabuk komutlarını sendmail projesinin ayarında infaz etmesine izin verebilir.

Bununla birlikte, büyük kötüye kullanım web sitesinde bir web tezahürü yakınlığı, PHPMailer'in mesajlar göndereceği işyerleri için de zorunludur. Ayrıca, bir gönderenin e-posta adresinin girilmesini de sağlar - e-posta başlığından görünen yer. Bu gibi yapılandırmaların ne kadar düzenli olduğu makul değildir, genellikle web manifestasyonları göndericinin e-postalarını önceden tanımlı hale getirir. Ayrıca, müvekkillerinin e-posta adreslerini de Yararlanıcı olarak almaları için en iyi şekilde izin vermelidir.

Joomla güvenlik işbirliğinin bir rapor için yaptığı konuşmada, “Merkezi postalama yapan Joomla API merkezinde bulunan tüm noktalar, dünya çapındaki kurulumda gönderici adresini kullanıyor. Ayrıca, müşteri bilgilerinin başka bir yerde bulunma şansını da göz önünde bulundurmuyor. “Ancak, PHPMailer'in farklı bir adaptasyonunu alternatif olarak gönderen eklentiler, e-posta göndererek Joomla API'sini kullanmazlarsa, bu konuda savunmasız kalma şansı olabilir. “.
WordPress geliştiricileri karşılaştırmalı bir sonuca ulaştılar, kendi hata izleyicilerine, dahili wp_mail () çalışmasının WordPress merkezi koduna doğru kullanılmasından etkilenmeyeceğine dikkati çekerek, PHPMailer karakteristiğinden yararlanamadı. Wp_mail () işlevini kullanan üçüncü taraf eklentileri, hipotetik olarak etkili bir şekilde etkilenmemelidir; ancak, belirli eklentilere olan eğilim, şu anda inceleme aşamasında olabilir.

“Yaklaşan 4. 7. 1 varış bu konular için sayısız rahatlama sağlayacaktır, ”WordPress baş tasarımcısı Dion Hulse dedi. “Biz sadece WordPress için güvenli kütüphaneler gönderiyoruz - her ne olursa olsun karakteristiği kullanıyor veya kullanmıyoruz. “.
Drupal güvenlik grubu da aynı şekilde bu konuyla ilgili bir güvenlik raporu hazırladı Drupal merkez kodunun etkilenmeyeceği gerçeğine rağmen Tom'un bu kusurları göz önünde bulundurmasına rağmen kritik olarak daha fazla kontrol edildi.

Bu işbirliği, “Bu konudaki inanılmaz eleştirelliği ve taburculuk hakkındaki zamanlamayı açıklıyoruz. Drupal site sahiplerini muhtemelen etkilemiş olan genel bir nüfus idaresi yayını yayınlıyoruz” dedi.

Tanıtım amaçlı yerleştirilen kameritonun baypas edilmesi ve genel nüfus kötüye kullanım kodunun mevcut olabileceği, bu savunmasızlığın sıfır-gün statüsüne ihtiyacı olduğu - kamuya açıklanacağı ve gönderilemeyeceği. Dahası, bu etki web sitesinden web sitesine değişerek PHPMailer'in nasıl kullanılabileceğine güvenmektedir, web yöneticileri için basit bir yaklaşım, konuyu dikkatli bir değerlendirme olmadan rahatlatacaktır.

Daha önce PHPMailer kullanmanın önceliği olduğunu varsayarsak, daha önce kendi web sitesinin kodu, en son yamada yer alan kütüphaneyi elden geçirmeli ve aynı zamanda hızla tabir edilen gibi. Ayrıca daha fazla desteklenmeli, aynı zamanda sitelerinin teması, geri bildirimi, kaydı, e-posta sıfırlaması için her ne durumda olursa olsun, farklı tiplerin PHPMailer'ın savunmasız bir şekilde yorumlanmasına yardımcı olacak şekilde iletilip iletilmediğine de karar vermelisiniz. Dahası, bir saldırganın bu gönderici e-posta konumunu bilgilendirebileceğini varsayalım.

Daha fazla takviye yapmaları gereken bir madde yönetim çerçevesi kullanmaları durumunda, etkilenen web sitesinin varsayılan kurulumunun yanında bulunup bulunmadığını anlamak için yardım web sitesini tartmalıdırlar. Bundan sonra, herhangi bir üçüncü taraf eklentisini, gereksinim duydukları modülleri kendi başlarına değiştirebilecekler. Ayrıca PHPMailer'i kendi başlarına kullanabilecekler.

Yanıt Ver

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!