Поддержка Проблемы и решения Уязвимость php mailer

  • Всем привет, прочитала об уязвимости в php mailer. Обновила до последней версии обновился class-phpmailer.php , но там стоит public $Version = ‘5.2.14’;

    Что стоит сделать? Стоит ли что-то еще предпринять?

    • Тема изменена 2 года/лет, 9 мес. назад пользователем  Yui. Причина: ссылку не надо
Просмотр 15 ответов — с 16 по 30 (всего 30)
  • Обновления каким образом выйдут — вместе с обновленным Вордпресс?
    Ух, сейчас мой хостер как напугал письмом про эту уязвимость!

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    У кучи народа в настройках CF7 по старинке стоит От кого: [your-name] <[your-email]>

    В свежих версиях CF7 нельзя подставить [your-email]. Только явное указание мыла, причём только в домене сайта.

    • Ответ изменён 2 года/лет, 9 мес. назад пользователем  SeVlad.
    Модератор Yui

    (@fierevere)

    ゆい

    Обновления каким образом выйдут — вместе с обновленным Вордпресс?

    да, 4.7.1 и для более старых веток тоже
    если автообновление не отключали, то обновится автоматически

    Ух, сейчас мой хостер как напугал письмом про эту уязвимость!

    https://www.youtube.com/watch?v=H5O02-6L3xo 😀

    А, дык это касается только тех, кого Contact Form 7 установлен что ли? -:)

    Модератор Yui

    (@fierevere)

    ゆい

    А, дык это касается только тех, кого Contact Form 7 установлен что ли? -:)

    пока не понятно кого это может коснуться

    стоит бояться если у вас есть контактная форма которая в качестве исходного (mail from:) адреса принимает параметры от посетителя

    чистый WP от посетителей для сброса пароля и прочего исходящий адрес эл.почты не принимает

    А, дык это касается только тех, кого Contact Form 7 установлен что ли? -:)

    Не только. Но тех, у кого допотопные настройки CF7, точно касается.

    Модератор SeVlad

    (@sevlad)

    wp.me/3YHjQ

    А, дык это касается только тех, кого Contact Form 7 установлен что ли? -:)

    В большей мере это коснётся обладателей всяких «премиальных» коммерческих тем, где встроена простая форма обратной связи. подставляющая в form мыло отправителя.
    Или же плагины и самописные формы, которые так же работают.

    А тех кто использует современный CF7 (и др плагины, с такими ограничениями) как раз в безопасности.

    • Ответ изменён 2 года/лет, 9 мес. назад пользователем  SeVlad.
    Модератор Yui

    (@fierevere)

    ゆい

    вообще использовать mail from: на своем сайте … в реалиях DKIM, SPF и прочих DMARC-ов….. нецелесообразно и даже глупо
    нормальная форма должна использовать reply to:

    и второй момент, Давид Голански достаточно нехорошо что ли написал об уязвимости… Прочитаешь — так страшно становится, деталей нет, всё дырявое, все страшно, чуть ли не полинтернета сломать можно. Но нужно учесть что PHPMailer уже пропатчили уязвимость и ждать пока детали опубликует Давид вовсе не обязательно
    http://paste.debian.net/904782/ с патчем все более менее становится на свои места и CVE-2016-10033 уже не кажется такой уж страшно опасной. Да, жертвы конечно будут, но не столь массовые

    А если у меня на странице контактов всего лишь прописана ссылка вида mailto:site@site.ru? То и бояться нечего? 🙂

    Модератор Yui

    (@fierevere)

    ゆい

    всего лишь прописана ссылка вида mailto:site@site.ru? То и бояться нечего?

    UGGI только сегодня 5990 рублей!
    вас подпишут на спам )) но не взломают

    Понятно! 🙂

    кстати, а какая у разработчиков стратегия обновления входящих в движок компонентов? ведь php mailer 5.2.14 вышел еще 1 ноября 2015 года.

    Модератор Yui

    (@fierevere)

    ゆい

    5.2.14 маркирован как «стабильная версия»

    https://github.com/PHPMailer/PHPMailer/tree/5.2-stable
    хотя конечно в свете последних уязвимостей, это разработчикам phpmailer надо пересматривать политику.

    https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md тут в принципе никаких интересных и важных изменений после 5.2.14 нет

    Модератор Yui

    (@fierevere)

    ゆい

    https://core.trac.wordpress.org/ticket/37210#comment:14

    WordPress Core (and as a result, anything utilising wp_mail()) are unaffected

    vulnerabilities require the usage of a PHPMailer feature which WordPress & wp_mail() does not use. This applies to WordPress 4.7, 4.6.x, and all previous secure versions.

    вообщем все как и написано выше, не так легко вскрыть проблему, если только не использовать что-то реально проблемное из плагинов, что не толкьо позволяет указывать исходящий адрес, но и работает не через wp_mail()

    Модератор Yui

    (@fierevere)

    ゆい

    https://core.trac.wordpress.org/export/39646/trunk/src/wp-includes/class-phpmailer.php

    у кого нет сил дожидаться релиза, файл закидывается в wp-includes/

Просмотр 15 ответов — с 16 по 30 (всего 30)
  • Тема «Уязвимость php mailer» закрыта для новых ответов.