Blog

29 Tháng mười hai 2016

PHP Liberer Mailer Kills trang web mỗi phút bạn không đọc bài viết này

Một sự thực về mã không tin cậy được thực hiện hoàn hảo PHPMailer, một điểm nổi bật trong số các mossycup sồi sử dụng thư viện gửi email PHP, Có thể đặt hàng triệu trang web Trong nguy cơ từ yêu cầu hack.

Sự không hoàn hảo có thể đã được tìm thấy Hướng tới Một chuyên gia bảo mật tên là Dawid Golunski Một sửa chữa khởi đầu có thể đã được kết hợp trong PHPMailer 5 là gì. 2. 18, có thể đã được thải ra thứ bảy. Tuy nhiên, nó chỉ ra rằng các patavium có thể đã không đầy đủ Hơn nữa có thể làm cho bỏ qua.

Thư viện PHPMailer có thể được sử dụng đặc biệt luân phiên bằng cách ngụ ý Cuối cùng Tom xem xét một số lượng đáng kể nội dung giám sát khung nền kinh tế (CMS) bao gồm WordPress, Joomla cũng Drupal. Vị trí của thư viện có thể không được bao gồm Trước đây, mã trung tâm của chúng, nó sẽ có thể truy cập được. Hình minh họa Một mô-đun riêng biệt luân phiên có thể được đóng gói với các phần bổ trợ của bên thứ ba.

Do đó, camwood của lỗ hổng này khác nhau bắt đầu với trang web với trang web. Ví dụ, những hợp tác bảo mật của Joomla đã quyết định rằng các lớp Joomla JMail, mà phụ thuộc một khi PHPMailer, cần thêm các xác nhận hợp lệ để giải quyết việc khai thác tính không tự vệ.

Sự không hoàn hảo sẽ được bắt đầu Tiến hành chấp nhận chấp nhận thông tin địa chỉ email của người gửi Cũng có thể cho phép một kẻ tấn công truyền các lệnh trình bao có thể được thực hiện trên máy chủ web trong thiết lập của dự án sendmail.

Tuy nhiên, lạm dụng tuyệt vời buộc những người xung quanh của một biểu hiện web trên trang web mà sử dụng PHPMailer sẽ gửi tin nhắn Cũng cho phép nhập một địa chỉ email người gửi tùy chỉnh - vị trí mà dường như trong tiêu đề email từ. Nó không hợp lý như thế nào thường xuyên cấu hình như vậy, trên biểu hiện web thường mang lại cho người gửi email được xác định trước Cũng tốt nhất cho phép khách hàng nên thông tin địa chỉ email của họ Tương tự như một người thụ hưởng.

"Tất cả các điểm trong trung tâm Joomla API gửi mail sử dụng địa chỉ người gửi thiết lập trong các thiết lập trên toàn thế giới Hơn nữa không xem xét thông tin khách hàng nên một cơ hội để được nằm ở nơi khác," hợp tác an ninh Joomla cho biết một báo cáo. “Tuy nhiên, các phần mở rộng đóng gói Một sự thích nghi khác biệt của PHPMailer luân phiên không sử dụng API Joomla với email gửi có thể là một cơ hội để được tự vệ nên vấn đề này. “.
Các nhà phát triển WordPress đã đến một kết luận so sánh, lưu ý trên trình theo dõi lỗi riêng của họ rằng công việc wp_mail () nội bộ được sử dụng Hướng tới mã trung tâm WordPress có thể không bị ảnh hưởng bởi nó không sử dụng đặc tính PHPMailer bất lực. Các trình cắm thêm của bên thứ ba sử dụng wp_mail () có hiệu quả nên giả thiết không bị ảnh hưởng, nhưng sự ảnh hưởng đến các trình cắm thêm cụ thể có thể hiện đang được kiểm tra.

“Tiếp cận 4. 7. Sự xuất hiện của 1 sẽ giữ được nhiều sự cứu trợ cho những vấn đề này, ”nhà thiết kế dẫn đầu của WordPress, Dion Hulse nói. “Chúng tôi đã gửi với chỉ cần vận chuyển thư viện an toàn cho WordPress - trong bất kỳ trường hợp nào nếu chúng tôi sử dụng đặc tính này hay không. “.
Nhóm bảo mật Drupal tương tự như vậy đã đặt ra một báo cáo bảo mật cho vấn đề này Có gì hơn nữa kiểm tra nó là quan trọng, mặc dù thực tế là mã trung tâm Drupal sẽ không bị ảnh hưởng Cuối cùng Tom đang perusing những sự không hoàn hảo.

"Với sự quan trọng tuyệt vời cho vấn đề này và thời gian về việc xả thải, chúng tôi đang phát hành một ấn phẩm quản trị dân số nói chung có thể ảnh hưởng đến các nhà bảo trì trang web Drupal", những hợp tác này cho biết.

Trên camwood giới thiệu giải quyết được bỏ qua và mã lạm dụng dân số nói chung có thể có sẵn, những defenselessness cần tình trạng zero-ngày - nó sẽ được công khai gọi và unpatched. Hơn nữa, một kết quả trực tiếp những hiệu ứng khác nhau từ trang web đến trang web, dựa trên cách PHPMailer có thể được sử dụng, không có cách tiếp cận đơn giản cho quản trị web sẽ làm giảm vấn đề mà không có một đánh giá cẩn thận.

Giả sử rằng họ sử dụng PHPMailer một cách thẳng thắn Trước đây, mã của trang web của họ, họ nên sửa chữa lại thư viện của bản vá lỗi gần đây nhất một cách nhanh chóng Tương tự như khi nó được giải phóng. Họ nên tiếp tục củng cố cũng tìm hiểu xem liệu có bất kỳ điều gì liên quan đến trang web, phản hồi, đăng ký, đặt lại email của họ hay không. Hơn nữa, các loại thông điệp khác nhau cho sự hỗ trợ của một biểu hiện không tự chủ của PHPMailer

Trên cơ sở sử dụng khuôn khổ quản lý chất, họ nên củng cố thêm trang web trợ giúp của mình để xác định liệu ảnh hưởng của nó có được gắn liền với thiết lập mặc định của nó hay không. Sau đó họ phải đánh lừa những người lảo đảo cho bất kỳ Tại bất kỳ bên thứ ba plug-in thay thế các mô-đun mà họ cần giới thiệu Cũng có thể sử dụng PHPMailer ngày của riêng mình.

GTranslate Your license is inactive or expired, please subscribe again!