https://www.opennet.dev/openforum/vsluhforumID3/110043.html В библиотеке PHPMailer выявлена (https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html) ещё одна критическая уязвимость (CVE-2016-10045), позволяющая выполнить свой код на сервере. Проблема устранена в выпуске PHPMailer 5.2.20 (https://github.com/PHPMailer/PHPMailer/releases). Уязвимость позволяет обойти метод защиты, реализованный для блокирования прошлой уязвимости (https://www.opennet.ru/opennews/art.shtml?num=45774), и касается не столько самого PHPMailer, сколько внутренних проблем с функцией mail() и средствами экранирования символов в PHP.<br><br><br><br>Напомним, что уязвимость в PHPMailer позволяла через передачу специально оформленного адреса отправителя, корректного и полностью соответствующего RFC 3696 (https://tools.ietf.org/html/rfc3696), организовать передачу дополнительных аргументов утилите /usb/sbin/sendmail, запускаемой по умолчанию при вызове PHP-функции mail(). Для атаки используется опция "-X", позволяющая записать тело сообщения в переданны https://www.opennet.dev/openforum/vsluhforumID3/110043.html#60 Sat, 31 Dec 2016 02:11:06 GMT Итак, исходя из куска кода:<br><br>$mail = new PHPMailer();<br>$email_from = '"attacker\" -oQ/tmp/ -X/var/www/cache/phpcode.php some"@email.com'; <br>$mail-&gt;SetFrom($email_from, 'Client Name');<br><br>ясно две вещи. Первое какой-то школьник решил, что SetFrom() это мега-метод, который должен принимать на вход не только электронный адрес почты, но также и весь набор параметров к объекту $mail. Хотя нормальные люди делают на каждый входной параметр -- свой метод. И второе, забыв правило "мусор на входе, мусор на выходе" автор сего когда решил обвинять кого угодно, но только не свой код: виноваты те кто писал mail() функцию, те кто писали экранизаторы, вообще все вокруг виноваты, а он, автор расчудесного метода -- нет. Повезло ему, что чужой код оказался не менее бажным, а то бы и дальше искал бы виноватых.<br> https://www.opennet.dev/openforum/vsluhforumID3/110043.html#59 Fri, 30 Dec 2016 21:02:52 GMT &gt; админ локалхоста как есть...<br>&gt; они тебя даже спрашивать не будут - поставят задачу "починить отправку почты <br>&gt; из PHPMailer, срок исполнения - пять дней назад, потому что должно <br>&gt; было работать сразу". Это когда тебя повысят до админа не локалхоста <br>&gt; а чего-то что приносит деньги.<br><br>Чегож с тебя так ядовитое дерьмо прет? Совсем неудачник по жизни? Соберись с силами и переломи!<br> https://www.opennet.dev/openforum/vsluhforumID3/110043.html#58 Fri, 30 Dec 2016 13:20:09 GMT Речь шла о smtp модуле php написанном на С, а так на самом php любой модуль можно написать. И идея была в том, чтобы реализовать его в место поделки вроде функции mail. <br><br>&gt;&gt;Совсем его выпилить не получится из-за популярности php на shared-хостингах, где и исходящие соединения по 25-му порту, и семейство exec-функций могут быть запрещены - и оставлена только функция mail().<br><br>Если исходящие по 25 порту соединения запрещены (а запрещены конкретно пхп или серверу?), то и mail функция работать не будет.<br><br>пс: Жутко плохая практика использовать вебсервер в качестве отправщика почты, дык легче с пхп коннектиться к гмейлу и отправлять через него.<br> https://www.opennet.dev/openforum/vsluhforumID3/110043.html#57 Fri, 30 Dec 2016 03:25:03 GMT &gt; пришли php кодеры и давай всех обгаживать.<br><br>это НЕ кодеры -- они даже PHP не осилили. кодеры молча кодят и у них всё работает.<br> https://www.opennet.dev/openforum/vsluhforumID3/110043.html#56 Thu, 29 Dec 2016 22:19:25 GMT Я бы добавил disable_functions=* и забиндил пхп процесс на другой ЯзыкП.<br> https://www.opennet.dev/openforum/vsluhforumID3/110043.html#55 Thu, 29 Dec 2016 22:01:30 GMT В контексте этой новости в этот список еще надо добавить mail(). :-)<br> https://www.opennet.dev/openforum/vsluhforumID3/110043.html#54 Thu, 29 Dec 2016 21:24:57 GMT Угу, скорость у жс вменяемая, уникального ie больше нет, и пусть клиент сам себе интерфейс рендерит, жсоном нужные данные отдать и пускай сортирует и фильтрует как нравится - красота.<br> https://www.opennet.dev/openforum/vsluhforumID3/110043.html#53 Thu, 29 Dec 2016 20:51:25 GMT Не знаю как где а у нас по Украине в этом году JavaScript отобрал третье место у PHP.<br> https://www.opennet.dev/openforum/vsluhforumID3/110043.html#51 Thu, 29 Dec 2016 18:14:20 GMT Да, а вот Гугл Тренды с тобой не согласятся :)<br>Для веба, будет стандартом де факто - js. Вот увидишь.<br>Можешь скринить.<br>