PHPMailer库打补丁后漏洞仍然存在,怎么解?

日期:2017-5-5作者:Michael Cobb翻译:张程程来源:TechTarget中国 英文

【TechTarget中国原创】

开源PHPMailer库被披露存有一个严重的远程代码执行漏洞。这个漏洞在被修补后,又进行了二次修复,因为第一次没有充分解决问题。那么,这个漏洞是如何工作的?为什么原始补丁没有解决问题?

Michael Cobb:代码库和框架大大减少了构建新应用程序所需的时间,保存了一些通用组件,因而开发团队不需要再为每个新项目从头开始构建。

绝大多数Web服务都是使用流行的第三方框架和库构建的。这种重复使用代码的最大问题是,如果在受欢迎的库中发现了一个漏洞,那么它会影响成千上万的应用程序、站点和服务。

这种情况非常频繁,最近又再次出现,前不久Dawid Golunski发现开源运输类PHPMailer中的远程代码执行漏洞。利用该漏洞,攻击者能够在Web服务器帐户的上下文中访问目标服务器,可能导致Web应用程序受损。

PHPMailer被许多开源项目所使用,如WordPress、Drupal和Joomla,全球约有900万用户。网上有数千个代码段和示例,显示了如何使用PHPMailer从各种形式(如联系人或注册表单)发送电子邮件,但其中大多数包含不安全的代码行,这让该漏洞得以被利用,因为它允许任何人伪造From和发件人地址。

PHPMailer使用PHP邮件功能作为发送邮件的默认方法。虽然PHPMailer使用的所有电子邮件地址在使用前都已先行进行验证,但Golunski发现了“生成一个包含可执行命令的有效‘发件人’电子邮件地址的方式”。虽然“发件人”电子邮件地址应由开发人员设置,但通常都是由用户自行设置,这非常不好,用户能够提交他们选择的任何电子邮件地址。另外,如果开发人员未对发件人的属性进行明确的设置,则使用发件人地址。此发件人值将添加到传递给PHP邮件功能的第五个参数,该函数无法过滤掉一些可能包含的字符串字面值转义字符。这样一来,攻击者能够注入包含发送邮件时执行命令的其他参数。

这个漏洞被标记为CVE-2016-10033,PHPMailer开发人员认为在发布的PHPMailer 5.2.18版本时已修复了该漏洞。他们在传递给PHP邮件功能之前,添加了escapeshellarg转义函数来清理发件人地址值。

但Golunski注意到,当escapeshellarg函数与现有的转义函数escapeshellcmd组合使用时,发件人值仍然没有得到正确的转义。通过向原始攻击代码添加额外的引用,仍然可以逃避补丁所提供的保护。这个新的漏洞是CVE-2016-10045,补丁在PHPMailer 5.2.20中被发布。

PHPMailer团队已经在GitHub上发布了如何正确处理网站表单中使用的电子邮件地址的示例。它需要向网站域内的有效地址发送表单数据,并由开发人员设置。

这被认为是一个非常关键的漏洞,它显示出开发人员和Web管理员保持对最新安全威胁以及使用任何共享组件、包或库订阅保持警惕的重要性。

开发人员应该审查使用PHPMailer邮件功能的所有脚本,还要研究PHP的各种转义功能的工作机制,以及它们对不同类型字符串的影响,因为错误的转义字符串也可能导致SQL注入。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

漏洞评估>更多

  • Android启动程序中现6个新漏洞

    在温哥华举行的USENIX会议上,9名计算机科学家组成的团队展示了他们的研究成果,以及他们用来发现发现这些漏洞的工具。该工具被称为BootStomp,主要用于搜索易受攻击的启动程序。

  • Stuxnet多年之后:Windows Shell漏洞仍然肆虐

    Stuxnet利用的Windows Shell漏洞是需要企业仔细评估的漏洞之一。自被公开以来,Windows Shell漏洞已经包含在很多漏洞利用工具包中,并被很多攻击者利用,尽管微软在2010年发布了补丁,但这个问题仍然没有得到解决。

  • 制止“下一个WannaCry漏洞” 刻不容缓

    日前微软公司发布了新一批的补丁,修复了48个漏洞,其中25个被视为需要紧急处理的漏洞。尽管微软每月更新补丁,但此次更新揭露出一个异常危险的漏洞——CVE-2017-8620……

  • VMware VDP中的漏洞是如何工作的?

    VMware已经修补了vSphere Data Protection中的关键漏洞,是什么导致了这些VMware漏洞?除了打补丁之外,企业还可以做什么来缓解这些漏洞带来的风险?

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心