`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Миллионы сайтов уязвимы для хакеров из-за ошибки в популярном скрипте PHP

+11
голос
Миллионы сайтов уязвимы для хакеров из-за ошибки в популярном скрипте PHP

Проблема с безопасностью, обнаруженная в распространённой библиотеке PHPMailer, позволяет хакерам запускать код на веб-сайте, использующем уязвимую версию этого PHP-скрипта, который автоматизирует отсылку электронной почты, и получать контроль над сервером.

Эта библиотека на сегодняшний день включена в сотни миллионов веб-сайтов, а также в некоторые наиболее популярные движки управления контентом, в частности, в WordPress, Joomla, Drupal, SugarCRM, vTiger CRM, Mantis, XOOPS, Zikula.

Дефект защиты, который получил обозначение CVE-2016-10033, был исправлен 25 декабря с выходом версии PHPMailer 5.2.18. Тем не менее, проблема не теряет актуальности, поскольку пройдет некоторое время, пока обновление распространится в Интернете. Как показывает прошлый опыт, миллионы сайтов вообще не получат этого патча, что оставит большой сегмент Интернета открытым для атак.

Открывший эту уязвимость Давил Голунски (Dawid Golunski) (ранее уже обнаруживший критические дефекты в MySQL) из осторожности не сообщил в открытом доступе всех её подробностей. Это, однако, не помешало другим исследовать различия между прежней и пропатченной версиями PHPMailer и самостоятельно создать код эксплойта, который уже выложен онлайн на ресурсах GitHub и ExploitDB.

Такие проекты, как WordPress и Drupal в настоящее время готовят патчи безопасности для своих программ, с внедрённой библиотекой PHPMailer.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT