Блог

29 грудня 2016

PHP Mailer Liberaries Вбиває веб-сайт кожну хвилину, коли ви не читаєте цю статтю

Бездоганна бездоганна робота з віддаленим кодом виконується PHPMailer, видатний серед дуба mossycup широко використовується електронна пошта PHP надсилає бібліотеки, може встановити мільйони сайтів, в небезпеці вимагати злому.

Недосконалість може бути знайдена до фахівця з безпеки, названого Давид Голунські. Більше того, початковий виправлення могло бути включено в PHPMailer 5. 2 18, який, можливо, був скинутий у суботу. Однак виявляється, що патавіум, можливо, був неадекватним, можливо, і обійдеться.

Бібліотека PHPMailer може бути використана спеціально по черзі за допомогою імплікації. Врешті-решт, Tom переглядає значну кількість контенту, керуючи рамками економіки (CMS), включаючи WordPress, Joomla і Drupal. Місце, де бібліотека може бути не включена Раніше, їх код центру, буде нахиленою. Що стосується ілюстрації, то окремий модуль по черзі може бути упакований з сторонніми надбудовами.

Завдяки цьому, ці відхилення від крила відрізняються, починаючи з веб-сайту з веб-сайтом. Наприклад, ця співпраця з безпеки Joomla продиктована тим, що клас Joomla JMail, який залежить від PHPMailer, потребує додаткових перевірок, які встановлюються на експлуатацію безглуздості нелогічно.

Буде порушено недосконалість шляху до повного прийняття адреси електронної пошти відправника. Також може дозволити нападнику вводити команди shell, які можуть бути виконані на веб-сервері в налаштуваннях проекту sendmail.

Проте, велике зловживання зобов'язує тих, що знаходяться поблизу веб-проявів, на веб-сайті, на якому робота PHPMailer надсилатиме повідомлення. Також дозволяє вводити адресу електронної пошти для відправника - місцеположення, яке відображається в заголовку електронного листа. Зрозуміло, наскільки регулярними є такі конфігурації, зазвичай веб-прояви приносять електронну пошту відправника заздалегідь. Також краще дозволити клієнтам отримувати інформацію про свою адресу електронної пошти, як і бенефіціару.

"Всі місця в центрі Joomla API, які відправляють пошту, використовують адресу відправника, встановлену у всесвітній установці. Крім того, не враховується, що інформація про клієнта повинна мати шанс бути розташованою в іншому місці", - сказано в повідомленні для співпраці з безпеки Joomla. "Тим не менш, розширення, які пакують Диференційована адаптація PHPMailer по черзі не використовує Joomla API з відправкою електронної пошти може бути шанс бути беззахисним, якщо це питання. ".
Розробники WordPress прибули до Порівняльного висновку, зазначивши, що за власним відстеженням помилок, що робота внутрішньої роботи wp_mail () працює не на коду центру WordPress, вона не використовує безсильна характеристика PHPMailer. Ефективно гіпотетично не впливають і сторонні плагіни, які використовують wp_mail (), але наразі існує можливість перевірки окремих плагінів.

"Наближається 4. 7 Приїзд 1 буде мати величезне полегшення для цих питань ", - сказав провідний дизайнер WordPress Діон Халсе. "Ми надіслані за допомогою безпечних бібліотек для WordPress - у будь-якому випадку, якщо ми використовуємо цю характеристику чи ні. ".
Група безпеки Drupal також виклала звіт про безпеку в цьому питанні. Ще більше перевіряється на це як критичне, незважаючи на те, що коду центру Drupal не буде вплинути. Нарешті, Том розглядає ці недоліки.

"З огляду на дивовижну критичність цього питання та терміни його виконання, ми випускаємо публікацію" Загальне керівництво адміністрацією населення з обережністю, можливо, вплинуло на підтримку сайтів Drupal ", - сказано в повідомленні.

На вступній осінній кампанії можна обійти, і загальний код зловживання зловживанням може бути доступним, ці беззахисні наслідки потребують статусу нульового дня - він буде публічно посланий і не відправлений. Крім того, безпосередній результат такого ефекту коливається від веб-сайту до веб-сайту, спираючись на те, як PHPMailer може бути використаний, немає простого підходу для веб-майстрів, це полегшить проблему без ретельної оцінки.

Якщо припустити, що вони просто використовують PHPMailer Раніше кодом свого веб-сайту їм слід було ретельно відновити бібліотеку останнього патчкоду так само швидко, як і його розрядження. Вони повинні додатково підкреслити також, чи на будь-якому місці для контакту сайту, зворотного зв'язку, реєстрації, відновлення електронної пошти Крім того, різні типи передають повідомлення для допомоги беззахисної передачі PHPMailer. Більше того, припускаючи, що Можливість нападника може містити інформацію про те адресу електронної пошти відправника.

На їх використанні у рамках системи адміністрування речовин вони повинні ще більше підбадьорити веб-сайт своєї допомоги, щоб з'ясувати, чи вплинуло його вплив на налаштування за замовчуванням. Після цього вони повинні оцінювати тих, хто має владу над будь-якими сторонніми плагінами поперемінно, що їм потрібно ввести. Крім того, які можуть використовувати PHPMailer самостійно.

залишити коментар

 
GTranslate Please upgrade your plan for SSL support!
GTranslate Your license is inactive or expired, please subscribe again!