Форум русской поддержки Joomla!® CMS
17.08.2017, 03:53:16 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Основной курс по Joomla
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Критическая уязвимость в PHPMailer

 (Прочитано 1930 раз)
0 Пользователей и 1 Гость смотрят эту тему.
b2z
Support Team
*****

Репутация: +739/-0
Offline Offline

Пол: Мужской
Сообщений: 7740


Разраблю понемногу


« : 27.12.2016, 11:05:06 »

Вчера было объявлено о том, что что в библиотеке PHPMailer обнаружена критическая уязвимость CVE-2016-1003. С ее помощью хакер может удаленно выполнить код в контексте web-сервера и скомпрометировать web-приложение. Для эксплуатации уязвимости (CVE-2016-10033) атакующий может использовать такие компоненты сайта, как формы обратной связи, регистрационные формы, механизмы восстановления и сброса пароля и пр., использующие уязвимую версию PHPMailer для отправки электронных сообщений. Проблема затрагивает все версии библиотеки до 5.2.20.

Пользователи Joomla в принципе защищены, так как используется класс JMail, в котором есть необходимая валидация.

Подробнее об уязвимости https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
« Последнее редактирование: 28.12.2016, 10:56:19 от b2z » Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #1 : 28.12.2016, 09:49:01 »

теперь уже в теме:
Цитировать
PHPMailer < 5.2.20 Remote Code Execution (0day Patch Bypass/exploit)
http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html
« Последнее редактирование: 28.12.2016, 10:56:56 от b2z » Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #2 : 28.12.2016, 10:45:26 »

Уважаемый b2z.

Про коробку понятно, а если я использую PHPMailer , как отдельное, что делать для того, чтоб обезопаситься?
Записан
dmitry_stas
Профи
********

Репутация: +935/-6
Offline Offline

Сообщений: 9954



« Ответ #3 : 28.12.2016, 10:49:19 »

вопрос на форуме Joomla Azn вариант обновляться вовремя не рассматриваем, это сильно сложно? Azn
Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #4 : 28.12.2016, 10:51:46 »

Уважаемый b2z.

Про коробку понятно, а если я использую PHPMailer , как отдельное, что делать для того, чтоб обезопаситься?
А что просто мешает эту библиотеку отдельно скачать с репозиторий? или с обновленной коробки выдернуть?
Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #5 : 28.12.2016, 10:53:01 »

А что просто мешает эту библиотеку отдельно скачать с репозиторий? или с обновленной коробки выдернуть?

Я вот тоже думал, если такое вылезло, что мешает разрабам изменить при новом релизе безопасности?
Или это категорично влияет на иное?
Записан
b2z
Support Team
*****

Репутация: +739/-0
Offline Offline

Пол: Мужской
Сообщений: 7740


Разраблю понемногу


« Ответ #6 : 28.12.2016, 10:56:08 »

Скачайте отдельно PHPMailer. В Joomla библиотеку обновят при следующем релизе. Опять же, эксплоит возможен только в том случае, если в форме есть поле send from.
Записан
vipiusss
Профи
********

Репутация: +324/-10
Offline Offline

Пол: Мужской
Сообщений: 5840


Skype: renor_


« Ответ #7 : 28.12.2016, 11:06:52 »

Скачайте отдельно PHPMailer. В Joomla библиотеку обновят при следующем релизе. Опять же, эксплоит возможен только в том случае, если в форме есть поле send from.

Подскажите юзеру, RSForm  что использует в функиях формирования и отправки?
Записан
effrit
Группа развития
*****

Репутация: +822/-7
Offline Offline

Пол: Мужской
Сообщений: 7587


effrit.com


« Ответ #8 : 28.12.2016, 11:09:32 »

я попробовал накатить патченный вместо родного и письма перестали приходить. так что жду нормального обновлятора
Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #9 : 28.12.2016, 11:11:02 »

Подскажите юзеру, RSForm  что использует в функиях формирования и отправки?
Ресерчить надо, но помнится мне я там RCE находил, хз пофиксели или нет
Записан
wishlight
Профи
********

Репутация: +221/-1
Offline Offline

Пол: Мужской
Сообщений: 3786


skype aqaus.com


« Ответ #10 : 28.12.2016, 11:24:31 »

Может за 3 дня наконец-то исправят эту библиотеку?
Записан
winstrool
Живу я здесь
******

Репутация: +41/-2
Offline Offline

Пол: Мужской
Сообщений: 802


Свободен для работы


« Ответ #11 : 28.12.2016, 11:28:58 »

В принципе автор давольно токи популярно описал суть баги, если сильно переживаете, ознакомитесь с его трудом и наложите временный патч.
Записан
b2z
Support Team
*****

Репутация: +739/-0
Offline Offline

Пол: Мужской
Сообщений: 7740


Разраблю понемногу


« Ответ #12 : 28.12.2016, 11:33:28 »

Подскажите юзеру, RSForm  что использует в функиях формирования и отправки?
Без понятния. Если это конструктор форм, то по идее send from можно тоже добавить. Надо смотреть конерктную форму.
Если испольузется JMail, то проблем не должно быть.
Записан
Polosatyi
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Сообщений: 116


« Ответ #13 : 09.02.2017, 10:59:21 »

Подскажите пожалуйста - имею сайт на Joomla 3.6.5, недавно через админку перезаписал основные файлы Joomla, а на следующий день заметил что ночью был перезаписан файл /public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php  Опять перезаписал файлы Joomla - на следующее утро то же самое.

Причем в обоих файлах (и в старом и в новом) указана одна и та же версия - 5.2.16, но содержание разное. Посмотрел по логам - ничего подозрительного. Подключений по ftp/ssh в это время не было... Отправка почты через форму обратной связи работает отлично, сама форма обратной связи  - стандартная джумловская, не сторонняя...

Этот файл кто-то заливает через дыру в сайте, или это сама Joomla его обновляет и это нормально?
Записан
b2z
Support Team
*****

Репутация: +739/-0
Offline Offline

Пол: Мужской
Сообщений: 7740


Разраблю понемногу


« Ответ #14 : 09.02.2017, 11:04:38 »

Это точно не Joomla. Где-то видел на форуме, что хостнг как-то подменяет, но не уверен.
Записан
Polosatyi
Осваиваюсь на форуме
***

Репутация: +3/-0
Offline Offline

Сообщений: 116


« Ответ #15 : 09.02.2017, 11:22:20 »

А если выложу этот файл - можете бегло посмотреть, есть в нем что-то подозрительное?

Вот он в приложении.

* class.phpmailer.php.rar (28.68 Кб - загружено 3 раз.)
« Последнее редактирование: 09.02.2017, 11:26:11 от Polosatyi » Записан
ProtectYourSite
Живу я здесь
******

Репутация: +50/-4
Offline Offline

Сообщений: 835



« Ответ #16 : 09.02.2017, 12:00:45 »

Вот тема, в который обсуждалось аналогичное.
Записан
bestshoko
Захожу иногда
**

Репутация: +2/-0
Offline Offline

Сообщений: 18



« Ответ #17 : 23.02.2017, 20:36:05 »

Как самому обновить  PHPMailer, работает в любой версии Joomla.
Добавьте это в шапку!

Обновление PHPMailer до версии 5.2.22, где проблема CVE-2017-5223 пофиксина!
заходим сюда
https://github.com/PHPMailer/PHPMailer

Из всех этих фаилов нам нужны только три фаила.
а имено
class.phpmailer.php
class.pop3.php
class.smtp.php

Скачиваем их.
у себя на компьютере их переименовываем
class.phpmailer.php  переименовываем -------> phpmailer.php
class.pop3.php  переименовываем ------->  pop3.php    
class.smtp.php  переименовываем ------->  smtp.php

после чего заходим на сайт по FTP
ваш_сайт/libraries/phpmailer/
Записываем новые фаилы по верх старых.
Проверяем права на фаилы, должны быть 644
Это все.
Не забываем говорить спасибо!

« Последнее редактирование: 23.02.2017, 20:40:16 от bestshoko » Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet