forum.opennet.ru

"Критическая уязвимость в PHPMailer, применяемом в WordPress,..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	–2 +/–
Сообщение от Аноним (-), 27-Дек-16, 21:50
В комментарии к прошлой новости я ссылки кидал https://www.opennet.ru/openforum/vsluhforumID3/109851.html#2 на то, что на GitHub полно проектов с подобными уязвимостями. PHPMailer превзошёл мои ожидания. Использование сторонних типовых библиотек страшное зло, хуже которого только передавать в них непочищенные параметры, полагаясь, что библиотека сама вилидность проверит. PS. Сейчас понимаю, что был прав, всегда проверяя по [\w\d\_\-\.]+\@[\w\d\-\.]+ не пропуская пробелы и кавычки. Не совсем по RFC, но без почты бухгалтеров и спамеров можно обойтись :-)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в PHPMailer, применяемом в WordPress,..., opennews, 27-Дек-16, 21:19 [смотреть все]

php головного мозга, Аноним, 27-Дек-16, 21:19 (1) //
- Зато они не боятся malloc free и от чего там ещё падают в обморок Явисты-Питонис, A.Stahl, 27-Дек-16, 21:26 (2) //
  - да они вообще нихрена не боятся отчаянные люди , Куяврег, 27-Дек-16, 21:44 (3)
  - Xex, malloc free актуально для С, так что этого стоит бояться в том числе пользо, Alex, 27-Дек-16, 23:01 (10)
  - Где в Java malloc free O_O, qsdg, 28-Дек-16, 09:06 (30) //
    - Где, где Внутри То, что Вы его в тексте программы не видите, абсолютно не зн, Аноним, 28-Дек-16, 14:59 (42)
      - откуда он там возьмется, при живом то GC , xz, 29-Дек-16, 11:25 (59)
- Не важно, на каком языке ты говоришь, аноНЯшка Важно насколько правильно и одно, stomper, 28-Дек-16, 01:08 (16)
- что php головного мозга во первых нужно всегда фильтровать пользовательский ввод, Аноним, 28-Дек-16, 16:58 (44) //
  - Ну для дураков да, но там 4 кейса включая режим safe mode и даже это можно обо, Аноним, 29-Дек-16, 03:26 (52)
  - Фильтрацию можно обойти другой фильтрацией P S Мы не говорим про ваш местечковы, Аноним, 29-Дек-16, 03:28 (53)
Это тоже самое что и http www opennet ru opennews art shtml num 45643, burik666, 27-Дек-16, 21:46 (4)
В комментарии к прошлой новости я ссылки кидал https www opennet ru openforum , Аноним, 27-Дек-16, 21:50 (5) //
- юзать стороние пхп скрипты да ещё с такими сомнительными функциями как exec, sys, Sw00p_aka_Jerom, 28-Дек-16, 02:24 (17) //
  - Ждем когда эти девы выпилят exec, system и прицепят нормальный интерфейс сборки , Аноним, 28-Дек-16, 04:53 (20) //
    - Так суть не в выпиливании, а в правильном использовании, а из ваших слов ввходит, Sw00p_aka_Jerom, 28-Дек-16, 13:41 (37)
    - Выпиливать возможность прямого системного вызова - это как раз для макак А обер, KonstantinB, 28-Дек-16, 14:10 (39)
Пользователи всякого устаревшего php-хлама - должны страдать , th3m3, 27-Дек-16, 22:18 (6) //
- Не пользователи, а заказчики WP еще долго будет царствовать в клозетах и голова, Аноним, 27-Дек-16, 22:29 (7)
- Drupal с многомиллионными инвестициями и огромным сообществом крутых разрабов см, Аноним, 28-Дек-16, 07:12 (22) //
  - сразу виден икспертный специалист в этом деле который написал целых пару сайтов, Аноним, 28-Дек-16, 17:08 (46) //
    - Это лишь файл wp-login php из ядра https github com WordPress WordPress blob m, YCA4, 29-Дек-16, 09:06 (58)
  - Столько денег вбухали в Drupal, а он как был УГ на php, так и остался Могли бы , th3m3, 07-Янв-17, 14:22 (60)
- клоун - посмотри требования на https wordpress org about requirements php 7 ил, Аноним, 28-Дек-16, 17:03 (45) //
  - А ещё можно сразу использовать что-то более адекватное и современное , th3m3, 07-Янв-17, 14:24 (61)
К слову о статической линковке PS к TYPO3 кто-то лет десять тому сделал плаги, Michael Shigorin, 27-Дек-16, 22:39 (8)
Этим не ограничится, PHPMailer жуткий комбайн в котором встроен SMTP-сервер, сис, uldus, 27-Дек-16, 22:56 (9)
Marcus Bointon PHP - sucks, Аноним, 28-Дек-16, 00:02 (13)
хорошая либа, кстати а по поводу уязвимости - таких вагон где угодно просто в с, Gemorroj, 28-Дек-16, 00:15 (14) //
- Пути пхпистов неисповедимы, да , Аноним, 28-Дек-16, 10:00 (32)
Еще надо найти жертву с настоящим сендмейлом, что непросто Все известные мне mt, KonstantinB, 28-Дек-16, 07:20 (23)
Кстати, в php-шном же SwiftMailer аналогичную уязвимость исправили 2 5 года наза, KonstantinB, 28-Дек-16, 07:27 (24) //
- Исправили Напишут новую , Аноним, 28-Дек-16, 08:20 (25) //
  - Я к тому, что это, похоже, общее уязвимое место - и не только для php Да и прав, KonstantinB, 28-Дек-16, 08:32 (26)
  - Хех Написали Точнее, в тот раз исправили аналогичную, но в sendmail-транспорте, KonstantinB, 29-Дек-16, 07:49 (54)
Это в каком проекте нет валидации email Или это валидный email Attacker , Аноним, 28-Дек-16, 08:40 (28) //
- Это валидный EMail RFC допускает использование пробелов при выделении кавычками, Аноним, 28-Дек-16, 08:53 (29) //
  - Ага Можно сделать себе емейл типа , domain tld и троллить всех багр, KonstantinB, 28-Дек-16, 10:14 (33)
  - с какого перепугу валидный email_from attacker -oQ tmp -X var www cache , Аноним, 28-Дек-16, 17:11 (47) //
    - С такого, что валидность обычно таки определяетcя общепризнанным RFC, а не кон, Аноним84701, 28-Дек-16, 17:28 (48)
для WordPress приоритет на тикет поставил абсолютно левый человек зарегистрирова, Sylvia, 28-Дек-16, 09:11 (31)
Сссылка сотнях других проектов ничего не находит , arnold, 28-Дек-16, 12:28 (34) //
- потому что никто не пользуется этим овном, google, 28-Дек-16, 14:20 (40)
Да забейте на эту уязвимость, исправят - обновим , Fantomas, 28-Дек-16, 12:41 (35)
проверил на нескольких платформах включая джумлу - ругается на невалидный эмей, Square1, 28-Дек-16, 13:13 (36)
брейкинньюс просто, опции -X сто лет в обед, пруф сейчас не найду, но этим хекал, Аноним, 28-Дек-16, 13:51 (38) //
- Во-первых, phpmailer сам предоставляет средства валидации email PHPMailer vali, Аноним, 28-Дек-16, 18:58 (49) //
  - вот из за таких как ты, которые реальность от жопы отличить не могут, такое и сл, Аноним, 28-Дек-16, 21:57 (50) //
    - https tools ietf org html rfc3696 создан в 2004 году и как раз отражает соврем, Аноним, 29-Дек-16, 08:07 (55)
Там полный кабздец с самим php https gist github com Zenexer 40d02da5e07f151ad, Аноним, 29-Дек-16, 00:41 (51)
Ответте, плиз, как обновить phpmailer и проверить установленную версию Саппорт , Аноним, 29-Дек-16, 08:15 (56) //
- На подходе еще 2 CVE готовь еще денег , Аноним, 29-Дек-16, 08:54 (57)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру