PHPMailer库打补丁后漏洞仍然存在,怎么解?

日期:2017-5-5作者:Michael Cobb翻译:张程程来源:TechTarget中国 英文

【TechTarget中国原创】

开源PHPMailer库被披露存有一个严重的远程代码执行漏洞。这个漏洞在被修补后,又进行了二次修复,因为第一次没有充分解决问题。那么,这个漏洞是如何工作的?为什么原始补丁没有解决问题?

Michael Cobb:代码库和框架大大减少了构建新应用程序所需的时间,保存了一些通用组件,因而开发团队不需要再为每个新项目从头开始构建。

绝大多数Web服务都是使用流行的第三方框架和库构建的。这种重复使用代码的最大问题是,如果在受欢迎的库中发现了一个漏洞,那么它会影响成千上万的应用程序、站点和服务。

这种情况非常频繁,最近又再次出现,前不久Dawid Golunski发现开源运输类PHPMailer中的远程代码执行漏洞。利用该漏洞,攻击者能够在Web服务器帐户的上下文中访问目标服务器,可能导致Web应用程序受损。

PHPMailer被许多开源项目所使用,如WordPress、Drupal和Joomla,全球约有900万用户。网上有数千个代码段和示例,显示了如何使用PHPMailer从各种形式(如联系人或注册表单)发送电子邮件,但其中大多数包含不安全的代码行,这让该漏洞得以被利用,因为它允许任何人伪造From和发件人地址。

PHPMailer使用PHP邮件功能作为发送邮件的默认方法。虽然PHPMailer使用的所有电子邮件地址在使用前都已先行进行验证,但Golunski发现了“生成一个包含可执行命令的有效‘发件人’电子邮件地址的方式”。虽然“发件人”电子邮件地址应由开发人员设置,但通常都是由用户自行设置,这非常不好,用户能够提交他们选择的任何电子邮件地址。另外,如果开发人员未对发件人的属性进行明确的设置,则使用发件人地址。此发件人值将添加到传递给PHP邮件功能的第五个参数,该函数无法过滤掉一些可能包含的字符串字面值转义字符。这样一来,攻击者能够注入包含发送邮件时执行命令的其他参数。

这个漏洞被标记为CVE-2016-10033,PHPMailer开发人员认为在发布的PHPMailer 5.2.18版本时已修复了该漏洞。他们在传递给PHP邮件功能之前,添加了escapeshellarg转义函数来清理发件人地址值。

但Golunski注意到,当escapeshellarg函数与现有的转义函数escapeshellcmd组合使用时,发件人值仍然没有得到正确的转义。通过向原始攻击代码添加额外的引用,仍然可以逃避补丁所提供的保护。这个新的漏洞是CVE-2016-10045,补丁在PHPMailer 5.2.20中被发布。

PHPMailer团队已经在GitHub上发布了如何正确处理网站表单中使用的电子邮件地址的示例。它需要向网站域内的有效地址发送表单数据,并由开发人员设置。

这被认为是一个非常关键的漏洞,它显示出开发人员和Web管理员保持对最新安全威胁以及使用任何共享组件、包或库订阅保持警惕的重要性。

开发人员应该审查使用PHPMailer邮件功能的所有脚本,还要研究PHP的各种转义功能的工作机制,以及它们对不同类型字符串的影响,因为错误的转义字符串也可能导致SQL注入。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

漏洞评估>更多

相关推荐

技术手册>更多

  • 如何选择应用防火墙

    Web应用防火墙(Web application firewall)或应用层防火墙是一种旨在保护Web应用程序免受攻击和数据泄露危害的装置或软件。那些急于达到PCI安全标准的企业在选择Web应用防火墙(WAF)时往往无所适从。怎样才知道该选择什么产品?如何才能有效地部署和管理这些工具和软件?如何把它们与现有的基础架构有机组合起来?下面我们将列出在评估产品时帮助你遵从法规的需要着重考虑的几点。

  • 主动出击:直面最新的DDoS攻击

    在网络通达的今天,针对企业的DDoS攻击随时都有可能发生。事实上,分布式拒绝服务(DDoS)攻击已不是什么新鲜事了,但是它们现在正变得越来越复杂、更为多样而且愈发频繁。那么面对DDoS攻击,是坐以待毙还是主动出击?决定权在你。

  • 电子邮件安全

    近年来,作为一种通讯方式,电子邮件不断快速发展。电子邮件用户和公司所面临的安全性风险也变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。电子邮件的安全越来越受到重视。

  • 一个新的安全计划

    个人智能手机和其他计算设备正不断涌入企业,迫使关于安全的思考发生转变。现在就更新你的安全策略,在你还没有败倒在个人智能手机的猛攻前。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算