آسیب پذیری های خطرناک اخیر در کتابخانه های ایمیل

پیشنهاد بهبود دهنده(× 5 امتیاز)
اگر پیشنهادی دارید ما استقبال می کنیم.
- ۱. مطالب باید در حوزه خدمات تخصصی کسب و کار گرین وب و موارد مرتبط باشد. لذا هرگونه محتوا در غیر از این زمینه تایید نخواهد شد.
- ۲. نحوه امتیازدهی به مطالب اشتراک دانش به صورت زیر است :
  - مطالب کمتر از 450 کلمه : نیمی از امتیاز
  - مطالب بیش از 450 کلمه : امتیاز کامل
- ۳. محتوای کپی شده فاقد ارزش امتیازدهی می باشد اما در صورتیکه با مطلب مفید و کاربردی در وبسایتها و شبکه های اجتماعی برخورد کردید می توانید با ذکر منبع در ابتدای مطلب، آنرا به اشتراک بگذارید. اما به مطلب کپی شده امتیازی تعلق نمی گیرد.
- ۴. هر کاربر اجازه دارد در هفته حداکثر 5 مطلب قرار دهد تا حق سایر اعضا نیز در امتیاز گیری محفوظ بماند.
- ۵. کلیه مطالب ارسال شده توسط پرسنل در یک بازه زمانی خاص و بصورت دوره ای بررسی می شوند. از یادآوری مکرر در رابطه با بررسی مطالب، خودداری نمائید.
- ۶. جوایز پشت درب ها به صورت تصادفی به کلید ها تعلق می گیرد و از این بابت کاربر حق هیچگونه اعتراضی را نخواهد داشت.
- ۷. تحویل جوایز در انتهای هر ماه توسط منابع انسانی انجام می شود.
- ۸. برخی مطالب "نیازمند اصلاحات" است. در این صورت، باید اصلاحات انجام شده و دوباره ذخیره گردد.
- ۹. برای هر محتوایی در سایت یک دسته بندی و موضوع در نظر گرفته شده است که باید در زمان درج مطلب، به آن دقت شود.
اینجانب کلیه موارد فوق را می پذیرم
اشتراک دانش(× 20 امتیاز)
دانش خود را با همکاران خود به اشتراک بگذارید.
- ۱. مطالب باید در حوزه خدمات تخصصی کسب و کار گرین وب و موارد مرتبط باشد. لذا هرگونه محتوا در غیر از این زمینه تایید نخواهد شد.
- ۲. نحوه امتیازدهی به مطالب اشتراک دانش به صورت زیر است :
  - مطالب کمتر از 450 کلمه : نیمی از امتیاز
  - مطالب بیش از 450 کلمه : امتیاز کامل
- ۳. محتوای کپی شده فاقد ارزش امتیازدهی می باشد اما در صورتیکه با مطلب مفید و کاربردی در وبسایتها و شبکه های اجتماعی برخورد کردید می توانید با ذکر منبع در ابتدای مطلب، آنرا به اشتراک بگذارید. اما به مطلب کپی شده امتیازی تعلق نمی گیرد.
- ۴. هر کاربر اجازه دارد در هفته حداکثر 5 مطلب قرار دهد تا حق سایر اعضا نیز در امتیاز گیری محفوظ بماند.
- ۵. کلیه مطالب ارسال شده توسط پرسنل در یک بازه زمانی خاص و بصورت دوره ای بررسی می شوند. از یادآوری مکرر در رابطه با بررسی مطالب، خودداری نمائید.
- ۶. جوایز پشت درب ها به صورت تصادفی به کلید ها تعلق می گیرد و از این بابت کاربر حق هیچگونه اعتراضی را نخواهد داشت.
- ۷. تحویل جوایز در انتهای هر ماه توسط منابع انسانی انجام می شود.
- ۸. برخی مطالب "نیازمند اصلاحات" است. در این صورت، باید اصلاحات انجام شده و دوباره ذخیره گردد.
- ۹. برای هر محتوایی در سایت یک دسته بندی و موضوع در نظر گرفته شده است که باید در زمان درج مطلب، به آن دقت شود.
اینجانب کلیه موارد فوق را می پذیرم
ارسال گزارشمحرمانه(× 10 امتیاز)
گزارش نقص، ایراد، روندها و فعالیت های اشتباه و ...
ارائه ایده(× 10 امتیاز)
ایده های خلاقانه خود را به اشتراک بگذارید .
- ۱. مطالب باید در حوزه خدمات تخصصی کسب و کار گرین وب و موارد مرتبط باشد. لذا هرگونه محتوا در غیر از این زمینه تایید نخواهد شد.
- ۲. نحوه امتیازدهی به مطالب اشتراک دانش به صورت زیر است :
  - مطالب کمتر از 450 کلمه : نیمی از امتیاز
  - مطالب بیش از 450 کلمه : امتیاز کامل
- ۳. محتوای کپی شده فاقد ارزش امتیازدهی می باشد اما در صورتیکه با مطلب مفید و کاربردی در وبسایتها و شبکه های اجتماعی برخورد کردید می توانید با ذکر منبع در ابتدای مطلب، آنرا به اشتراک بگذارید. اما به مطلب کپی شده امتیازی تعلق نمی گیرد.
- ۴. هر کاربر اجازه دارد در هفته حداکثر 5 مطلب قرار دهد تا حق سایر اعضا نیز در امتیاز گیری محفوظ بماند.
- ۵. کلیه مطالب ارسال شده توسط پرسنل در یک بازه زمانی خاص و بصورت دوره ای بررسی می شوند. از یادآوری مکرر در رابطه با بررسی مطالب، خودداری نمائید.
- ۶. جوایز پشت درب ها به صورت تصادفی به کلید ها تعلق می گیرد و از این بابت کاربر حق هیچگونه اعتراضی را نخواهد داشت.
- ۷. تحویل جوایز در انتهای هر ماه توسط منابع انسانی انجام می شود.
- ۸. برخی مطالب "نیازمند اصلاحات" است. در این صورت، باید اصلاحات انجام شده و دوباره ذخیره گردد.
- ۹. برای هر محتوایی در سایت یک دسته بندی و موضوع در نظر گرفته شده است که باید در زمان درج مطلب، به آن دقت شود.
اینجانب کلیه موارد فوق را می پذیرم

اشتراک دانش عماد اعظم لطفی » آسیب پذیری های خطرناک اخیر در کتابخانه های ایمیل (۱۳۹۵/۱۰/۲۵)

تایید شده

PHPMailer یکی از محبوب ترین کتابخانه های منبع باز PHP برای ارسال ایمیل است که توسط بیش از 9 میلیون کاربر در سراسر جهان استفاده می شود. میلیون ها وب سایت PHP و برنامه های کاربردی وب، سیستم های مدیریت محتوا و فریم ورک های محبوب، از جمله وردپرس، جوملا ، دروپال و Yii Framework و... از کتابخانه PHPMailer برای ارسال ایمیل استفاده میکنند.

در تاریخ 2016/12/22 برابر با 2 دی 1395 آسیب پذیری خطرناکی (CVE-2016-10033) در این کتابخانه کشف شد که به مهاجم اجازه اجرای کد از راه دور را میدهد.

2 روز بعد از ثبت این آسیب پذیری نسخه اصلاح شده این کتابخانه (5.2.18) منتشر شد. تمام وب سایت ها و برنامه های کاربردی که از PHPMailer نسخه های قدیمی تر از 5.2.18 استفاده میکنند ممکن است این آسیب پذیری را داشته باشند.

طبق معمول کشف هر آسیب پذیری با انتشار نسخه جدید این کتابخانه آسیب پذیری ذکر شده ترمیم گردید اما قضیه به همین جا ختم نمی شود...

دقیقا 2 روز بعد از انتشار نسخه ترمیم شده این کتابخانه در تاریخ 2016/12/26 به دلیل عدم ترمیم صحیح این آسیب پذیری مجددا آسیب پذیری جدید دیگری (CVE-2016-10045) کشف و به ثبت رسید که دقیقا همان قسمت از کدها مربوط به آسیب پذیری CVE-2016-10033 را هدف قرار میداد.

با کشف این آسیب پذیری ظرف مدت 2 روز نسخه جدید این کتابخانه (5.2.20) مجددا اصلاح و منتشر شد. تمام وب سایت ها و برنامه های کاربردی که از PHPMailer نسخه های قدیمی تر از 5.2.20 استفاده میکنند ممکن است این آسیب پذیری را داشته باشند.

این آسیب پذیری ها و اصلاح ناموفق آن در وهله اول توجه هکر ها به این کتابخانه رو افزایش داد و باعث شد تا آسیب پذیری دیگری در تاریخ 2017/01/09 در این کتابخانه کشف شود.

همچنین آسیب پذیری این کتابخانه باعث شد تا هکرها کتابخانه های مشابه را مورد بررسی قرار دهند. نتیجه این بررسی ها به کشف آسیب پذیری های CVE-2016-10034 مربوط به Zend Framework / zend-mail < 2.4.11 و آسیب پذیری CVE-2016-10074 مربوط به Swift Mailer < 5.4.5 منجر شد.

از آن جایی که تمامی آسیب پذیری های ذکر شده مربوط به اجرای کد از راه دور می باشد و حتی اکسپلویت هایی نیز برای این آسیب پذیری ها نوشته و منتشر شده است. لذا به تمام دست اندرکاران توصیه می شود تا در صورت استفاده از کتابخانه های مذکور، سیستم های مدیریت محتوا و... آن را به آخرین نسخه بروزرسانی کنند.

نسخه های تحت تأثیر سیستم های مدیریت محتوای محبوب وردپرس و جوملا
وردپرس نسخه های قدیمی تر از 4.7.1
جوملا نسخه های 1.5.0 تا 3.6.5