Показано с 1 по 7 из 7

Тема: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla

  1. #1
    Senior Member Аватар для TimKGS
    Регистрация
    01.10.2015
    Сообщений
    187

    По умолчанию Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla

    В PHPMailer, популярной библиотеке для организации отправки электронный писем из приложений на языке PHP, число пользователей которой оценивается в 9 миллионов, обнаружена критическая уязвимость (CVE-2016-10033), позволяющая инициировать удаленное выполнение кода без прохождения аутентификации.

    Проблема аналогична недавно найденной уязвимости в Roundcube Webmail и также связана с небезопасным использованием PHP-функции mail() совместно с утилитой sendmail в качестве транспорта по умолчанию. Отсутствие должной проверки параметра "Sender" (неверная интерпретация экранированных кавычек), позволяет организовать передачу утилите sendmail произвольных аргументов командной строки, в том числе можно переопределить директорию очереди и файл с логом, что позволяет организовать запись сообщения в произвольный файл в локальной ФС на сервере с правами под которыми запускается PHP-приложение.

    ...

    Проблема устранена в PHPMailer 5.2.18, все более ранние выпуски подвержены уязвимости. Дистрибутивы пока не выпустили обновления пакетов: Debian, RHEL/CentOS, Fedora, Ubuntu, SUSE, openSUSE. Проблема проявляется при использовании настроек по умолчанию: отключен safe_mode, а для отправки используется PHP-функция mail() и утилита sendmail.


    http://www.opennet.ru/opennews/art.shtml?num=45774

    Господа, а как у нас с встроенными версиями PHP дела обстоят? С системной-то ясно - ждём апдейт.
    Или при смене версий PHPMailer используется всё тот же - что в системе пакетом?
    Последний раз редактировалось TimKGS; 28.12.2016 в 04:31.

  2. #2
    Senior Member Аватар для Армаэль
    Регистрация
    22.03.2015
    Адрес
    Москва
    Сообщений
    288

    По умолчанию

    Не знаю как кто, а я отключаю php mail, заставляя пользователей использовать класс php smtp с существующим пользователем почты. Авторизацией, управлением кол-ва писем считает exim и всё ок, нету гемора с провайдером и спамлистами.
    (ЗЫ: темболее современные CMS умеют и mail и smtp с авторизацией)
    Dedicated server Fujitsu-Siemens TX150 S7 | Intel Xeon X3470 | 32GB RAM ECC REG | IBM SAS 15k 300Gbx4 | WD SATA 7.2k 1Tbx4 | Intel Pro 1Gb LAN x2 | Ubuntu Server 18.04 LTS | ISPmanager 5 Lite

  3. #3
    Cool UNIX admin Аватар для ls
    Регистрация
    12.03.2007
    Сообщений
    10,471

    По умолчанию

    Так тут ПО ISPmanager не при чем, проблема в php-скрипте который используется в куче CMS
    Ждите обновления движков сайтов и обновляйте их

  4. #4
    Senior Member Аватар для TimKGS
    Регистрация
    01.10.2015
    Сообщений
    187

    По умолчанию

    Цитата Сообщение от ls Посмотреть сообщение
    Так тут ПО ISPmanager не при чем, проблема в php-скрипте который используется в куче CMS
    Ждите обновления движков сайтов и обновляйте их
    Так тут движки не при чём. Тут при чём пакет PHPMail, который разработчики уже обновили. С обновлением операционок свалится новый.

    Меня беспокоило, что версии PHP разные используются. Но уже ясно, что любая версия пользует один и тот же пакет.
    Последний раз редактировалось TimKGS; 31.12.2016 в 07:16.

  5. #5
    Senior Member
    Регистрация
    22.05.2016
    Сообщений
    125

    По умолчанию

    Речь идет о https://github.com/PHPMailer/PHPMailer, это PHP скрипт и к панели, и к OS никакого отношения не имеет. Обновляется это исключительно пользователями путем обновления CMS, либо именно данной библиотеки.

  6. #6
    Senior Member Аватар для TimKGS
    Регистрация
    01.10.2015
    Сообщений
    187

    По умолчанию

    Цитата Сообщение от Yoh Посмотреть сообщение
    либо именно данной библиотеки.
    из репозитория ОС

  7. #7
    Senior Member
    Регистрация
    22.05.2016
    Сообщений
    125

    По умолчанию

    Извините, каким боком? Данный PHP скрипт обычно содержится в составе фремворков, архивах CMS. На сервер из репозитория он не устанавливается. Или Вы CMS и фреймворки из репозитория ставите?

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •