PHPMailer库打补丁后漏洞仍然存在,怎么解?

日期:2017-5-5作者:Michael Cobb翻译:张程程来源:TechTarget中国 英文

【TechTarget中国原创】

开源PHPMailer库被披露存有一个严重的远程代码执行漏洞。这个漏洞在被修补后,又进行了二次修复,因为第一次没有充分解决问题。那么,这个漏洞是如何工作的?为什么原始补丁没有解决问题?

Michael Cobb:代码库和框架大大减少了构建新应用程序所需的时间,保存了一些通用组件,因而开发团队不需要再为每个新项目从头开始构建。

绝大多数Web服务都是使用流行的第三方框架和库构建的。这种重复使用代码的最大问题是,如果在受欢迎的库中发现了一个漏洞,那么它会影响成千上万的应用程序、站点和服务。

这种情况非常频繁,最近又再次出现,前不久Dawid Golunski发现开源运输类PHPMailer中的远程代码执行漏洞。利用该漏洞,攻击者能够在Web服务器帐户的上下文中访问目标服务器,可能导致Web应用程序受损。

PHPMailer被许多开源项目所使用,如WordPress、Drupal和Joomla,全球约有900万用户。网上有数千个代码段和示例,显示了如何使用PHPMailer从各种形式(如联系人或注册表单)发送电子邮件,但其中大多数包含不安全的代码行,这让该漏洞得以被利用,因为它允许任何人伪造From和发件人地址。

PHPMailer使用PHP邮件功能作为发送邮件的默认方法。虽然PHPMailer使用的所有电子邮件地址在使用前都已先行进行验证,但Golunski发现了“生成一个包含可执行命令的有效‘发件人’电子邮件地址的方式”。虽然“发件人”电子邮件地址应由开发人员设置,但通常都是由用户自行设置,这非常不好,用户能够提交他们选择的任何电子邮件地址。另外,如果开发人员未对发件人的属性进行明确的设置,则使用发件人地址。此发件人值将添加到传递给PHP邮件功能的第五个参数,该函数无法过滤掉一些可能包含的字符串字面值转义字符。这样一来,攻击者能够注入包含发送邮件时执行命令的其他参数。

这个漏洞被标记为CVE-2016-10033,PHPMailer开发人员认为在发布的PHPMailer 5.2.18版本时已修复了该漏洞。他们在传递给PHP邮件功能之前,添加了escapeshellarg转义函数来清理发件人地址值。

但Golunski注意到,当escapeshellarg函数与现有的转义函数escapeshellcmd组合使用时,发件人值仍然没有得到正确的转义。通过向原始攻击代码添加额外的引用,仍然可以逃避补丁所提供的保护。这个新的漏洞是CVE-2016-10045,补丁在PHPMailer 5.2.20中被发布。

PHPMailer团队已经在GitHub上发布了如何正确处理网站表单中使用的电子邮件地址的示例。它需要向网站域内的有效地址发送表单数据,并由开发人员设置。

这被认为是一个非常关键的漏洞,它显示出开发人员和Web管理员保持对最新安全威胁以及使用任何共享组件、包或库订阅保持警惕的重要性。

开发人员应该审查使用PHPMailer邮件功能的所有脚本,还要研究PHP的各种转义功能的工作机制,以及它们对不同类型字符串的影响,因为错误的转义字符串也可能导致SQL注入。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。

漏洞评估>更多

相关推荐

技术手册>更多

  • 企业风险管理教程

    如今,云计算等技术改变了企业应用信息系统、以及如何达到安全风险管理和合规遵从的方式,企业需要重新计划并部署自己的风险管理。那么究竟该如何制定安全风险管理计划?

  • 金融行业安全指导

    安全是金融行业永远的话题。现在网络犯罪分子们越来越多的利用综合渠道,包括网络,手机,邮件等,制造机会,跟踪欺诈消费者。本技术手册将从三个方面为您提供详细的安全策略,包括:金融安全风险及挑战,案例学习:金融安全启示录和金融安全最佳实践。

  • 一个新的安全计划

    个人智能手机和其他计算设备正不断涌入企业,迫使关于安全的思考发生转变。现在就更新你的安全策略,在你还没有败倒在个人智能手机的猛攻前。

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算