forum.opennet.ru

"В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для контроля за появлением новых сообщений - перед выходом жмите "Пометить прочитанным".

. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..."	+/–
Сообщение от Аноним (-), 31-Дек-16, 05:11
Итак, исходя из куска кода: $mail = new PHPMailer(); $email_from = '"attacker\" -oQ/tmp/ -X/var/www/cache/phpcode.php some"@email.com'; $mail->SetFrom($email_from, 'Client Name'); ясно две вещи. Первое какой-то школьник решил, что SetFrom() это мега-метод, который должен принимать на вход не только электронный адрес почты, но также и весь набор параметров к объекту $mail. Хотя нормальные люди делают на каждый входной параметр -- свой метод. И второе, забыв правило "мусор на входе, мусор на выходе" автор сего когда решил обвинять кого угодно, но только не свой код: виноваты те кто писал mail() функцию, те кто писали экранизаторы, вообще все вокруг виноваты, а он, автор расчудесного метода -- нет. Повезло ему, что чужой код оказался не менее бажным, а то бы и дальше искал бы виноватых.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В PHPMailer выявлена ещё одна критическая уязвимость, вызван..., opennews, 29-Дек-16, 10:22 [смотреть все]

Не из-за особенностей , а из-за его дизайна сообщение отредактировано модер, Аноним, 29-Дек-16, 10:22 (1) //
- Это одно и то же , Аноним, 29-Дек-16, 10:25 (2) //
  - кэп - P S Народ совершенно перестал воспринимать сарказм без закадрового смеха, Аноним, 29-Дек-16, 10:27 (3)
  - какие мы грозные а может все таки кривой RFC , Square1, 29-Дек-16, 10:34 (4) //
    - Плохому программисту RFC мешает , Неиилюзорная Фтопка Локалхоста, 29-Дек-16, 10:36 (5)
      - проблемы в данном случае- возникают из нелепого RFC Потом у что на практике - т, Square1, 29-Дек-16, 10:38 (6)
        
        Ага знаем мы как ПХП разработчики перекладывают свои болезни на более квалифицир, Аноним, 29-Дек-16, 10:41 (7)
        Ну перепишут sendmail как модуль расширения на си, доволен , Аноним, 29-Дек-16, 10:44 (8)
        
        Дык давно уже нужно было писать модуль для smtp, а не все подряд звать через exe, Sw00p_aka_Jerom, 29-Дек-16, 13:04 (30)
        
        Такие модули есть такие и в phpmailer-е, и в swiftmailer-е Это не значит, что не, KonstantinB, 29-Дек-16, 18:35 (48)
        
        Речь шла о smtp модуле php написанном на С, а так на самом php любой модуль можн, Sw00p aka Jerom, 30-Дек-16, 16:20 (58)
        
        Проблемы в данном случае возникают из-за того, что функция mail четвертым и пяты, angra, 29-Дек-16, 12:46 (21)
        Нет, проблема возникает из-за идиота, который писал реализацию mail в PHP , KonstantinB, 29-Дек-16, 18:33 (47)
      - В мемориз , Lander, 29-Дек-16, 11:01 (11)
        
        RFC трудились писали, переписывали много - пришли php кодеры и давай всех обгажи, Аноним, 29-Дек-16, 11:04 (12)
        
        если вы пишите по стандарту и в результате получается жопа - то это проблема с, Square1, 29-Дек-16, 11:20 (14)
        
        Если разработчики не могут безопасно реализовать стандарт, то это проблема разра, Аноним, 29-Дек-16, 12:49 (22)
        
        Безопасно реализовать стандарт Эт как У вас рфс написано как это делать Ой п, Sw00p_aka_Jerom, 29-Дек-16, 13:11 (33)
        
        Эти символы и в именах файлов, например, разрешены И ничего, все живы до сих по, Crazy Alex, 29-Дек-16, 13:15 (36)
        
        ага слеш разрешён в качестве имени файла, Sw00p aka Jerom, 29-Дек-16, 17:44 (44)
        
        Писали трудились, писаки что ли Покажите мне код где реализована эта фуллвая сп, Sw00p_aka_Jerom, 29-Дек-16, 13:07 (31)
        это НЕ кодеры -- они даже PHP не осилили кодеры молча кодят и у них всё работа, Аноним, 30-Дек-16, 06:25 (57)
        
        вы просто потакаете безответственности и халатности RFC подкладывающий мину зам, Square1, 29-Дек-16, 11:18 (13)
        
        Владимир Владимирович , angra, 29-Дек-16, 12:49 (23)
        При чем тут RFC, когда в PHP банально используют shell для запуска внешних проце, Аноним, 29-Дек-16, 12:58 (26)
https github com php php-src commit 8f4050709c833b9d42cd65349b7747f8e61d171f, Аноним, 29-Дек-16, 10:50 (9) //
- ext filter tests 058 phpt ver 238 , VER 206 ver 238 ver, Sw00p aka Jerom, 29-Дек-16, 17:52 (46)
кучно пошли, бедный буратино, 29-Дек-16, 10:54 (10)
Баг закрыли багом Эпично , Онаним, 29-Дек-16, 11:27 (15) //
- это же пхп что от них ожидали, анан, 29-Дек-16, 11:30 (16)
И ведь, его такого особенного, ещё кто-то в 2017 будет юзать Поздравляю , th3m3, 29-Дек-16, 12:05 (17) //
- не кто то а большинство юзает и будет узать и кол-во пользователей будет только, Аноним, 29-Дек-16, 12:35 (19) //
  - Да, а вот Гугл Тренды с тобой не согласятся Для веба, будет стандартом де факт, th3m3, 29-Дек-16, 21:14 (51) //
    - Не знаю как где а у нас по Украине в этом году JavaScript отобрал третье место у, Arcade, 29-Дек-16, 23:51 (53)
    - Угу, скорость у жс вменяемая, уникального ie больше нет, и пусть клиент сам себе, cmp, 30-Дек-16, 00:24 (54)
- не ктото а большинство а в будущем и все перейдут на PHP, Аноним, 29-Дек-16, 12:36 (20)
- Например, все те миллионны форумов, которые используют phpBB https en wikiped, Аноним, 29-Дек-16, 13:07 (32)
следующая новость ахтунг в php обнаружена уязвимость в функциях system и exec , Аноним, 29-Дек-16, 12:19 (18) //
- О сколько нам открытий чудных готовит просвещенья дух с , Анонимен, 29-Дек-16, 12:51 (24)
т е кто-то не фильтрует входящие данные, а виноват пхп лол, Аноним, 29-Дек-16, 12:52 (25) //
- Да, виноват PHP, так как входящие данные полностью соответствуют RFC , Аноним, 29-Дек-16, 13:00 (28) //
  - ну так sql injection тоже проходит в стандарт, давайте теперь не будет проверять, Аноним, 29-Дек-16, 13:14 (34) //
    - Дык, разработчкик PHP Mailer и проверяют данные, но , рлрлро, 29-Дек-16, 14:20 (39)
- Да, виноват похапе Обезьяны не осилили exec и продолжают юзать system , Аноним, 29-Дек-16, 13:25 (38)
Еще лет 15 назад я на всех своих серваках сделал симлинк usr sbin sendmail на , Тот самый, 29-Дек-16, 14:53 (40) //
- А еще от php кодеров требуется серьезная защита В php ini обязательно должно бы, Тот самый, 29-Дек-16, 15:06 (41) //
  - В контексте этой новости в этот список еще надо добавить mail - , KonstantinB, 30-Дек-16, 01:01 (55) //
    - Я бы добавил disable_functions и забиндил пхп процесс на другой ЯзыкП , ACDC, 30-Дек-16, 01:19 (56)
- угу, а когда тебе надо поставить что-то, что должно отправлять почту - ты сам бы, Аноним, 29-Дек-16, 15:18 (42) //
  - Бвахахаха У меня наоборот получилось Когда прогеры начали жаловаться что не вся, Arcade, 29-Дек-16, 18:49 (49)
  - Чегож с тебя так ядовитое дерьмо прет Совсем неудачник по жизни Соберись с сил, Тот самый, 31-Дек-16, 00:02 (59)
- Действительно, не читать же в самом деле админу локалхоста системную почту , angra, 29-Дек-16, 16:33 (43)
- А я нихрена не делал, я подождал когда ко мне прийдут с вопросом А почему нас п, Arcade, 29-Дек-16, 18:52 (50)
Итак, исходя из куска кода mail new PHPMailer email_from attacker -o , Аноним, 31-Дек-16, 05:11 (60)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру