بلاگ

29 دسمبر 2016

پی ایچ پی میلر لائبریریوں کو اس ویب سائٹ کو ہر ایک شخص کو قتل کرتا ہے جسے آپ اس مضمون کو نہیں پڑھتے ہیں

/
کی طرف سے پوسٹ کیا گیا

ایک ناقابل یقین دور دراز کوڈ پر عملدرآمد دفاعی طور پر پی ایچ ایم ایم میلر کیا گیا، ماساسکو اپک کے درمیان ایک موقف نے پی ایچ پی کے ای میل کو لائبریریوں کو بڑے پیمانے پر استعمال کیا، لاکھوں سائٹس کو ہیکنگ کا دعوی کرنے سے خطرہ میں.

ڈیوڈ گولونکی نامی ایک سیکورٹی ماہر کی طرف سے ناکامی پایا جا سکتی ہے شاید پی ایچ پی ایمیلر 5 میں ایک ابتدائی فکس شامل ہوسکتی ہے. 2. 18، جو شاید ہفتے کے آخر میں ختم ہوسکتا ہے. تاہم، یہ پتہ چلتا ہے کہ پتاوایم کافی ناکافی ہوسکتا ہے اور اس کے علاوہ بقایا جا سکتا ہے.

پی ایچ پی ایم ایلر لائبریری کا استعمال خاص طور پر متبادل طور پر متبادل طریقے سے استعمال کیا جاسکتا ہے. آخر میں ٹام نے ایک اہم نمبر پر مواد کو غیر معمولی معیاری فریم ورک (CMSs) سمیت ورڈپریس، جملہ بھی ڈروپل بھی شامل کیا ہے. اس جگہ جس میں لائبریری شامل نہیں ہوسکتی ہے، پہلے سے ہی، ان کا مرکز کوڈ، اس کی وضاحت کے بارے میں قابل رسائی مصلحت کی جائے گی ایک علیحدہ ماڈیول متبادل طور پر تیسری پارٹی کے اضافے کے ساتھ پیک کیا جاسکتا ہے.

اس کی وجہ سے، ویب سائٹ کے ساتھ ویب سائٹ کے ساتھ ان کی غلطی کی آواز کی لکڑی شروع ہوتی ہے. مثال کے طور پر، ان جملہ سیکورٹی تعاون نے یہ بتائی ہے کہ جو جملہ جی ایم ایل کلاس، پی ایچ پی ایم ایلر کے ایک بار پر منحصر ہے، اس کے اضافی جائزے کی ضرورت ہوتی ہے جو غیر معمولی دفاعی استحصال کا استحصال کرتی ہے.

غلطی شروع کی جائے گی، بھیجنے والے ای میل ایڈریس کی معلومات کے لۓ انفلاٹیٹ قبول کرنے کے لۓ بھی اس کو تسلیم کر سکتا ہے کہ شیل کمانوں کو بھی بھیجیں گے جس میں بھیجنے کے لئے سرور سرور پر عملدرآمد ہوسکتا ہے.

تاہم، بڑے بدعنوانی ویب سائٹ پر ویب منشور کے ان علاقوں پر پابندی لگتی ہے جو پی ایچ پی ایمیلر پیغامات بھیجے گا، اس کے علاوہ، اپنی مرضی کے مطابق بھیجنے والا ای میل مقام ان پٹ کو بھی اجازت دیتا ہے - جو ای میل ہیڈر سے ہی ہوتا ہے. یہ مناسب نہیں ہے کہ باقاعدگی سے ویب ترتیبات پر باقاعدگی سے اس ترتیب کو کس طرح بھیجنے والے ای میل کی پیشکش کی جاتی ہے اس کے ساتھ ساتھ بہترین اجازت نامہ گاہکوں کو ان کے ای میل ایڈریس کو بھی اسی طرح کے طور پر معلومات فراہم کرنا چاہئے.

جملہ جملہ سیکورٹی تعاون نے ایک رپورٹ کے لئے کہا کہ "جملہ جملہ API میں تمام مقامات جنہیں میل بھیجتے ہیں وہ بھیجنے والے بھیجنے والے ایڈریس کا استعمال کرتے ہوئے دنیا بھر میں سیٹ اپ کے علاوہ مزید کلائنٹ کی معلومات پر غور نہیں کرنا چاہئے." "تاہم، توسیع جس میں پی ایچ پی میلیلر کے مختلف متعدد موافقت پیک کرنے والے ای میل بھیجنے کے ساتھ جملہ API کا استعمال نہیں کرتے متبادل طور پر اس مسئلہ کا ہونا لازمی ہو سکتا ہے. ".
ورڈپریس ڈویلپرز ان کے اپنے بگ ٹریکر پر زور دیتے ہوئے ایک موازنہ اختتام پر پہنچ گئے ہیں کہ داخلہ wp_mail () کو استعمال کرتے ہوئے کام کرتے ہوئے ورڈپریس سینٹر کوڈ پر اثر انداز نہیں کیا جا سکتا اس پر اثر انداز نہیں ہوتا. تیسری پارٹی کے پلگ ان جو wp_mail استعمال کرتے ہیں () مؤثر طور پر کوپاکستانی طور پر اثر انداز نہیں کیا جانا چاہئے، لیکن ابھی تک خاص پلگ ان کی مدد کی جانچ پڑتال کی جا سکتی ہے.

"قریب 4. 7. 1 آمد ان مسائل کے لۓ متعدد معاون رہیں گے، "ورڈپریس لیڈر ڈیزائنر ڈئن ہولس نے کہا. "ہم صرف ورڈپریس کے لئے محفوظ لائبریریوں کو بھیجنے کے ساتھ جمع کر رہے ہیں - کسی بھی صورت میں اگر ہم خصوصیت کا استعمال کرتے ہیں یا نہیں. ".
اس طرح ڈراپول سیکیورٹی گروپ نے اس مسئلے کے بارے میں ایک سیکورٹی رپورٹ کیا اور اس کو زیادہ اہم طور پر چیک کیا ہے، اس حقیقت کے باوجود کہ ڈروپل سینٹر کوڈ کو اثر انداز نہیں کیا جائے گا.

ان تعاون نے کہا کہ "اس مسئلے کے لئے حیرت انگیز اہمیت کو دیکھتے ہوئے اور اس کے مادہ کے بارے میں ٹائمنگ جاری رہے گا. ہم ایک عام آبادی انتظامیہ کے اشاعت کو خبردار کرتے ہیں کہ ڈروپل سائٹ کے برقرار رکھنے پر اثر انداز ہوسکتے ہیں."

تعقیبی حل کی لکڑی پر بائی پاس کیا جائے گا اور عام آبادی کے غلط استعمال کے کوڈ دستیاب ہوسکتے ہیں، ان کی نابودگی صفر کی حیثیت کی ضرورت ہوتی ہے - یہ عام طور پر حوالہ دیا جاسکتا ہے. اس کے علاوہ، براہ راست نتائج، ان اثرات ویب سائٹ سے ویب سائٹ پر مختلف ہوتی ہیں، جس پر پی ایچ ایم ایم ایلر استعمال کیا جاسکتا ہے، ویب ماسٹروں کے لئے یہ آسان نقطہ نظر نہیں ہے کہ وہ محتاط تشخیص کے بغیر مسئلہ کو دور کرے.

یہ سمجھتے ہیں کہ وہ پی ایچ ایم ایمیلر کو براہ راست استعمال کرتے ہیں، پہلے سے ہی، ان کی ویب سائٹ کا کوڈ، انہیں حالیہ پیچیدہ لائبریری کی لائبریری کو ہٹانے کے لئے لازمی طور پر متعارف کرایا جانا چاہئے. انہیں یہ بھی پتہ چلتا ہے کہ آیا ان کی سائٹ کے رابطے، فیڈریشن، رجسٹریشن، ای میل ری سیٹ کے لئے جو کچھ بھی ہے وہ بھی مختلف قسم کے پی ایچ پی ایمیلر کے دفاعی عارضے کی مدد کے لئے پیغامات فراہم کرتے ہیں. کیا یہ ممکن ہے کہ ممکنہ حملہ آور ان مرسل کو ای میل مقام کی معلومات حاصل کرسکیں.

انہوں نے مادہ ایڈمنسٹریشن کے فریم ورک کو استعمال کرنے پر انہیں اپنی مدد کی ویب سائٹ کا وزن بڑھانے کی ضرورت ہے تاکہ یہ معلوم ہو کہ اس کے ڈیفالٹ سیٹ اپ کے ساتھ ساتھ اس کا اثر کیا ہوا تھا. اس کے بعد انہیں کسی بھی کے لئے گھیرنے کی ضرورت ہے. جو بھی تیسری پارٹی پلگ ان متبادل طور پر ماڈیولز کو متعارف کرایا جاتا ہے وہ متعارف کرانے کی ضرورت ہے جو بھی پی ایچ پی ایم ایلر اپنے اپنے پر استعمال کرسکتے ہیں.

GTranslate Your license is inactive or expired, please subscribe again!