|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от opennews (??) on 29-Дек-16, 10:22 | ||
В библиотеке PHPMailer выявлена (https://legalhackers.com/advisories/PHPMailer-Exploit-Remote...) ещё одна критическая уязвимость (CVE-2016-10045), позволяющая выполнить свой код на сервере. Проблема устранена в выпуске PHPMailer 5.2.20 (https://github.com/PHPMailer/PHPMailer/releases). Уязвимость позволяет обойти метод защиты, реализованный для блокирования прошлой уязвимости (https://www.opennet.ru/opennews/art.shtml?num=45774), и касается не столько самого PHPMailer, сколько внутренних проблем с функцией mail() и средствами экранирования символов в PHP. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +8 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 10:22 | ||
> Из-за особенностей PHP | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 10:25 | ||
>Не из-за "особенностей", а из-за его "дизайна". | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
3. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 10:27 | ||
кэп :-) | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
4. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –2 +/– | |
Сообщение от Square1 on 29-Дек-16, 10:34 | ||
>>Не из-за "особенностей", а из-за его "дизайна". | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
5. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +17 +/– | |
Сообщение от Неиилюзорная Фтопка Локалхоста on 29-Дек-16, 10:36 | ||
Плохому программисту RFC мешает. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
6. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –6 +/– | |
Сообщение от Square1 on 29-Дек-16, 10:38 | ||
> Плохому программисту RFC мешает. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
7. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +1 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 10:41 | ||
Ага знаем мы как ПХП разработчики перекладывают свои болезни на более квалифицированных. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
8. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 10:44 | ||
Ну перепишут sendmail как модуль расширения на си, доволен? | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
30. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Sw00p_aka_Jerom (ok) on 29-Дек-16, 13:04 | ||
Дык давно уже нужно было писать модуль для smtp, а не все подряд звать через exec. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
48. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –1 +/– | |
Сообщение от KonstantinB (ok) on 29-Дек-16, 18:35 | ||
> Дык давно уже нужно было писать модуль для smtp, а не все | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
58. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Sw00p aka Jerom on 30-Дек-16, 16:20 | ||
Речь шла о smtp модуле php написанном на С, а так на самом php любой модуль можно написать. И идея была в том, чтобы реализовать его в место поделки вроде функции mail. | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
21. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +6 +/– | |
Сообщение от angra (ok) on 29-Дек-16, 12:46 | ||
Проблемы в данном случае возникают из-за того, что функция mail четвертым и пятым параметром принимает не значение одного аргумента как to, from и msg, которое сама экранирует и подставляет в sendmail, а произвольную строку в качестве _набора_ дополнительных аргументов для sendmail. А вот тут с экранированием возникают некоторые проблемы. Принимала бы вместо строки ассоциативный массив, не было бы проблем. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
47. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +4 +/– | |
Сообщение от KonstantinB (ok) on 29-Дек-16, 18:33 | ||
Нет, проблема возникает из-за идиота, который писал реализацию mail() в PHP. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
11. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +4 +/– | |
Сообщение от Lander (??) on 29-Дек-16, 11:01 | ||
>Плохому программисту RFC мешает. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
12. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +3 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 11:04 | ||
RFC трудились писали, переписывали много - пришли php кодеры и давай всех обгаживать. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
14. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –5 +/– | |
Сообщение от Square1 on 29-Дек-16, 11:20 | ||
> RFC трудились писали, переписывали много - пришли php кодеры и давай всех | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
22. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +5 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 12:49 | ||
Если разработчики не могут безопасно реализовать стандарт, то это проблема разработчиков, а не стандарта. | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
33. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –5 +/– | |
Сообщение от Sw00p_aka_Jerom (ok) on 29-Дек-16, 13:11 | ||
Безопасно реализовать стандарт? Эт как? У вас рфс написано как это делать? Ой простите ваш рфс не знал что некоторые символы разрешенные оказывается являются спец операторами в коммандной оболочке, ой Господи прости меня за кощунства против рфс, во всем виноват пхп и сендмейл который принимает аргументы в коммандной строке, а не интерактивно | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
36. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +2 +/– | |
Сообщение от Crazy Alex (ok) on 29-Дек-16, 13:15 | ||
Эти символы и в именах файлов, например, разрешены. И ничего, все живы до сих пор. Может, всё-таки, стоит помеьше дёргать шелл, а если дёргать - обеспечивать вменяемую передачу параметров вместо надежды на то, что сам шелл разберётся? | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
44. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –1 +/– | |
Сообщение от Sw00p aka Jerom on 29-Дек-16, 17:44 | ||
ага слеш разрешён в качестве имени файла | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
31. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –1 +/– | |
Сообщение от Sw00p_aka_Jerom (ok) on 29-Дек-16, 13:07 | ||
Писали трудились, писаки что ли? Покажите мне код где реализована эта фуллвая спека рфс | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
57. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +1 +/– | |
Сообщение от Аноним (??) on 30-Дек-16, 06:25 | ||
> пришли php кодеры и давай всех обгаживать. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
13. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –4 +/– | |
Сообщение от Square1 on 29-Дек-16, 11:18 | ||
вы просто потакаете безответственности и халатности. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
23. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –2 +/– | |
Сообщение от angra (ok) on 29-Дек-16, 12:49 | ||
Владимир Владимирович? | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
26. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +5 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 12:58 | ||
> RFC подкладывающий "мину замедленного действия" | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
9. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 10:50 | ||
https://github.com/php/php-src/commit/8f4050709c833b9d42cd65... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
46. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –2 +/– | |
Сообщение от Sw00p aka Jerom on 29-Дек-16, 17:52 | ||
> https://github.com/php/php-src/commit/8f4050709c833b9d42cd65... | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
10. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от бедный буратино (ok) on 29-Дек-16, 10:54 | ||
кучно пошли | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
15. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +2 +/– | |
Сообщение от Онаним on 29-Дек-16, 11:27 | ||
Баг закрыли багом... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
16. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от анан on 29-Дек-16, 11:30 | ||
это же пхп что от них ожидали | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
17. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от th3m3 (ok) on 29-Дек-16, 12:05 | ||
>>Из-за особенностей PHP | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
19. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 12:35 | ||
не кто то а большинство. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
51. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от th3m3 (ok) on 29-Дек-16, 21:14 | ||
Да, а вот Гугл Тренды с тобой не согласятся :) | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
53. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –1 +/– | |
Сообщение от Arcade (ok) on 29-Дек-16, 23:51 | ||
Не знаю как где а у нас по Украине в этом году JavaScript отобрал третье место у PHP. | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
54. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от cmp (ok) on 30-Дек-16, 00:24 | ||
Угу, скорость у жс вменяемая, уникального ie больше нет, и пусть клиент сам себе интерфейс рендерит, жсоном нужные данные отдать и пускай сортирует и фильтрует как нравится - красота. | ||
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору |
20. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –3 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 12:36 | ||
не ктото а большинство | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
32. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –1 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 13:07 | ||
Например, все те миллионны форумов, которые используют "phpBB" | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
18. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +5 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 12:19 | ||
следующая новость. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
24. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Анонимен on 29-Дек-16, 12:51 | ||
"О сколько нам открытий чудных готовит просвещенья дух!" (с) | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
25. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 12:52 | ||
т.е. кто-то не фильтрует входящие данные, а виноват пхп? лол | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
28. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +2 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 13:00 | ||
> т.е. кто-то не фильтрует входящие данные, а виноват пхп? лол | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
34. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +1 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 13:14 | ||
ну так sql injection тоже проходит в стандарт, давайте теперь не будет проверять данные от пользователей? | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
39. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +1 +/– | |
Сообщение от рлрлро on 29-Дек-16, 14:20 | ||
Дык, разработчкик PHP Mailer и проверяют данные, но... | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
38. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +4 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 13:25 | ||
Да, виноват похапе. Обезьяны не осилили exec() и продолжают юзать system() | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
40. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Тот самый on 29-Дек-16, 14:53 | ||
Еще лет 15 назад я на всех своих серваках сделал симлинк /usr/sbin/sendmail на /bin/true, а почту из приложений передаю только по TCP 127.0.0.1:25. Лучшее лекарство от кретинов-программистов. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
41. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Тот самый on 29-Дек-16, 15:06 | ||
А еще от php кодеров требуется серьезная защита. В php.ini обязательно должно быть: | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
55. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от KonstantinB (ok) on 30-Дек-16, 01:01 | ||
В контексте этой новости в этот список еще надо добавить mail(). :-) | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
56. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от ACDC on 30-Дек-16, 01:19 | ||
Я бы добавил disable_functions=* и забиндил пхп процесс на другой ЯзыкП. | ||
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору |
42. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +1 +/– | |
Сообщение от Аноним (??) on 29-Дек-16, 15:18 | ||
угу, а когда тебе надо поставить что-то, что должно отправлять почту - ты сам быстренько разбираешься в паре сот мегабайт чужого странного кода с напластованиями за десяток лет, и быстренько переписываешь в нем PHPMailer или самодельный его заменитель? | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
49. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | –1 +/– | |
Сообщение от Arcade (ok) on 29-Дек-16, 18:49 | ||
Бвахахаха. | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
59. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Тот самый on 31-Дек-16, 00:02 | ||
> админ локалхоста как есть... | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
43. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от angra (ok) on 29-Дек-16, 16:33 | ||
Действительно, не читать же в самом деле админу локалхоста системную почту. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
50. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Arcade (ok) on 29-Дек-16, 18:52 | ||
А я нихрена не делал, я подождал когда ко мне прийдут с вопросом "А почему нас постоянно банят за рассылку почты". | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
60. "В PHPMailer выявлена ещё одна критическая уязвимость, вызван..." | +/– | |
Сообщение от Аноним (??) on 31-Дек-16, 05:11 | ||
Итак, исходя из куска кода: | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |