Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от opennews (??), 27-Дек-16, 21:19 | ||
В PHPMailer (https://github.com/PHPMailer/PHPMailer), популярной библиотеке для организации отправки электронный писем из приложений на языке PHP, число пользователей которой оценивается в 9 миллионов, обнаружена (https://legalhackers.com/advisories/PHPMailer-Exploit-Remote... критическая уязвимость (CVE-2016-10033 (https://security-tracker.debian.org/tracker/CVE-2016-10033)), позволяющая инициировать удаленное выполнение кода без прохождения аутентификации. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +3 +/– | |
Сообщение от Аноним (-), 27-Дек-16, 21:19 | ||
php головного мозга | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +6 +/– | |
Сообщение от A.Stahl (ok), 27-Дек-16, 21:26 | ||
Зато они не боятся malloc/free и от чего там ещё падают в обморок Явисты-Питонисты? | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +21 +/– | |
Сообщение от Куяврег (?), 27-Дек-16, 21:44 | ||
да они вообще нихрена не боятся. отчаянные люди... | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +4 +/– | |
Сообщение от Alex (??), 27-Дек-16, 23:01 | ||
Xex, malloc/free актуально для С, так что этого стоит бояться в том числе пользователям интерпретатора PHP, тем более что кажется он написан весьма чудаковато, периодически оскаливаясь различным уязвимостями, связанными с неправильным парсингом аргументов и т.п. | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
30. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –2 +/– | |
Сообщение от qsdg (ok), 28-Дек-16, 09:06 | ||
Где в Java malloc/free? O_O | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
42. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 28-Дек-16, 14:59 | ||
> Где в Java malloc/free? O_O | ||
Ответить | Правка | Наверх | Cообщить модератору |
59. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от xz (??), 29-Дек-16, 11:25 | ||
> Где, где... Внутри! То, что Вы его в тексте программы не видите, | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +4 +/– | |
Сообщение от stomper (?), 28-Дек-16, 01:08 | ||
> php головного мозга | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
44. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 28-Дек-16, 16:58 | ||
что php головного мозга? | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
52. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 29-Дек-16, 03:26 | ||
Ну для дураков да, но там 4 кейса включая режим "safe mode" и даже это можно обойти с Windows платформы, пример ядру пыхапэ | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +2 +/– | |
Сообщение от Аноним (-), 29-Дек-16, 03:28 | ||
> во первых нужно всегда фильтровать пользовательский ввод данных | ||
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору |
4. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от burik666 (ok), 27-Дек-16, 21:46 | ||
Это тоже самое что и http://www.opennet.dev/opennews/art.shtml?num=45643 | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –2 +/– | |
Сообщение от Аноним (-), 27-Дек-16, 21:50 | ||
В комментарии к прошлой новости я ссылки кидал https://www.opennet.dev/openforum/vsluhforumID3/109851.html#2 на то, что на GitHub полно проектов с подобными уязвимостями. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +2 +/– | |
Сообщение от Sw00p_aka_Jerom (ok), 28-Дек-16, 02:24 | ||
юзать стороние пхп скрипты да ещё с такими сомнительными функциями как exec, system и тд. - маразм. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от Аноним (-), 28-Дек-16, 04:53 | ||
Ждем когда эти девы выпилят exec, system и прицепят нормальный интерфейс сборки запросов на выполнения с экранированием для макак | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от Sw00p_aka_Jerom (ok), 28-Дек-16, 13:41 | ||
Так суть не в выпиливании, а в правильном использовании, а из ваших слов ввходит, что интерфейсы созданы именно для макак | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –1 +/– | |
Сообщение от KonstantinB (ok), 28-Дек-16, 14:10 | ||
Выпиливать возможность прямого системного вызова - это как раз для макак. | ||
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору |
6. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –6 +/– | |
Сообщение от th3m3 (ok), 27-Дек-16, 22:18 | ||
>>WordPress, Drupal и Joomla | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от Аноним (-), 27-Дек-16, 22:29 | ||
Не пользователи, а заказчики. WP еще долго будет царствовать в клозетах и головах. Ибо "дёшева". | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +3 +/– | |
Сообщение от Аноним (-), 28-Дек-16, 07:12 | ||
Drupal с многомиллионными инвестициями и огромным сообществом крутых разрабов смотрит и смеется. Ты бы свой не хлам показал, эксперт. | ||
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору |
46. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –2 +/– | |
Сообщение от Аноним (-), 28-Дек-16, 17:08 | ||
сразу виден икспертный специалист в этом деле. который написал целых пару сайтов на WordPress - скачивав и устанавив пачку гов-ноплагинов. | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +2 +/– | |
Сообщение от YCA4 (ok), 29-Дек-16, 09:06 | ||
Это лишь файл wp-login.php из ядра. | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от th3m3 (ok), 07-Янв-17, 14:22 | ||
Столько денег вбухали в Drupal, а он как был УГ на php, так и остался. Могли бы уж переписать на чём-то более адекватном. | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
45. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 28-Дек-16, 17:03 | ||
клоун - посмотри требования на https://wordpress.org/about/requirements/ | ||
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору |
61. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от th3m3 (ok), 07-Янв-17, 14:24 | ||
А ещё можно сразу использовать что-то более адекватное и современное. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –4 +/– | |
Сообщение от Michael Shigorin (ok), 27-Дек-16, 22:39 | ||
К слову о статической линковке... | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от uldus (ok), 27-Дек-16, 22:56 | ||
Этим не ограничится, PHPMailer жуткий комбайн в котором встроен SMTP-сервер, система массовой рассылки, NTLM, CRAM-MD5, XOAUTH2, TLS, DKIM и S/MIME. | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от Аноним (-), 28-Дек-16, 00:02 | ||
Marcus Bointon & PHP - sucks | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +2 +/– | |
Сообщение от Gemorroj (ok), 28-Дек-16, 00:15 | ||
хорошая либа, кстати. | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от Аноним (-), 28-Дек-16, 10:00 | ||
Пути пхпистов неисповедимы, да. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от KonstantinB (ok), 28-Дек-16, 07:20 | ||
Еще надо найти жертву с настоящим сендмейлом, что непросто. Все известные мне mta (кроме самого sendmail) игнорируют -X (и правильно делают). | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от KonstantinB (ok), 28-Дек-16, 07:27 | ||
Кстати, в php-шном же SwiftMailer аналогичную уязвимость исправили 2.5 года назад. | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 28-Дек-16, 08:20 | ||
> аналогичную уязвимость исправили 2.5 года назад | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от KonstantinB (ok), 28-Дек-16, 08:32 | ||
Я к тому, что это, похоже, общее уязвимое место - и не только для php. Да и правда, легко ошибиться, забыв о том, что email, прошедший валидацию, вполне может содержать валидную quoted string - это необычно, и таких адресов никто почти и не видел, но, тем не менее, они валидны. | ||
Ответить | Правка | Наверх | Cообщить модератору |
54. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от KonstantinB (ok), 29-Дек-16, 07:49 | ||
Хех. Написали. Точнее, в тот раз исправили аналогичную, но в sendmail-транспорте, а в mail-транспорте-то и не поправили :-) | ||
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору |
28. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 28-Дек-16, 08:40 | ||
Это в каком проекте нет валидации email ??? | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +2 +/– | |
Сообщение от Аноним (-), 28-Дек-16, 08:53 | ||
Это валидный EMail. RFC допускает использование пробелов при выделении кавычками. | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от KonstantinB (ok), 28-Дек-16, 10:14 | ||
Ага. Можно сделать себе емейл типа "(),:; \"<>["@domain.tld и троллить всех багрепортами. :-) | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 28-Дек-16, 17:11 | ||
с какого перепугу валидный? | ||
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору |
48. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от Аноним84701 (ok), 28-Дек-16, 17:28 | ||
> с какого перепугу валидный? | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от Sylvia (ok), 28-Дек-16, 09:11 | ||
>Уязвимости присвоен наивысший (Highly Critical) уровень опасности. | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от arnold (?), 28-Дек-16, 12:28 | ||
Сссылка "сотнях других проектов" ничего не находит. | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –1 +/– | |
Сообщение от google (??), 28-Дек-16, 14:20 | ||
потому что никто не пользуется этим овном | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Fantomas (??), 28-Дек-16, 12:41 | ||
Да забейте на эту уязвимость, исправят - обновим. | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +1 +/– | |
Сообщение от Square1 (?), 28-Дек-16, 13:13 | ||
проверил на нескольких платформах (включая джумлу) - ругается на невалидный эмейл. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +3 +/– | |
Сообщение от Аноним (-), 28-Дек-16, 13:51 | ||
брейкинньюс просто, опции -X сто лет в обед, пруф сейчас не найду, но этим хекали ещё очень давно, после чего собственно нормальные люди вырубили -X | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 28-Дек-16, 18:58 | ||
> может нормально отвалидировать email(пробелы/бекслеши -_-) и юзает phpmailer то уж извините | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –1 +/– | |
Сообщение от Аноним (-), 28-Дек-16, 21:57 | ||
вот из за таких как ты, которые реальность от жопы отличить не могут, такое и случается | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 29-Дек-16, 08:07 | ||
> когда спецификация почты была создана? | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 29-Дек-16, 00:41 | ||
Там полный кабздец с самим php | ||
Ответить | Правка | Наверх | Cообщить модератору |
56. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | +/– | |
Сообщение от Аноним (-), 29-Дек-16, 08:15 | ||
Ответте, плиз, как обновить phpmailer и проверить установленную версию. Саппорт говорит, что это 10 долларов в час будет стоить | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..." | –1 +/– | |
Сообщение от Аноним (-), 29-Дек-16, 08:54 | ||
На подходе еще 2 CVE готовь еще денег) | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |