Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в PHPMailer, применяемом в WordPress,..., opennews (??), 27-Дек-16, (0) [смотреть все] php головного мозга, Аноним (-), 21:19 , 27-Дек-16, (1) +3   // Зато они не боятся malloc free и от чего там ещё падают в обморок Явисты-Питонис, A.Stahl (ok), 21:26 , 27-Дек-16, (2) +6   // да они вообще нихрена не боятся отчаянные люди , Куяврег (?), 21:44 , 27-Дек-16, (3) +21   Xex, malloc free актуально для С, так что этого стоит бояться в том числе пользо, Alex (??), 23:01 , 27-Дек-16, (10) +4   Где в Java malloc free O_O, qsdg (ok), 09:06 , 28-Дек-16, (30) –2   // Где, где Внутри То, что Вы его в тексте программы не видите, абсолютно не зн, Аноним (-), 14:59 , 28-Дек-16, (42)   откуда он там возьмется, при живом то GC , xz (??), 11:25 , 29-Дек-16, (59)   Не важно, на каком языке ты говоришь, аноНЯшка Важно насколько правильно и одно, stomper (?), 01:08 , 28-Дек-16, (16) +4   что php головного мозга во первых нужно всегда фильтровать пользовательский ввод, Аноним (-), 16:58 , 28-Дек-16, (44)   // Ну для дураков да, но там 4 кейса включая режим safe mode и даже это можно обо, Аноним (-), 03:26 , 29-Дек-16, (52)   Фильтрацию можно обойти другой фильтрацией P S Мы не говорим про ваш местечковы, Аноним (-), 03:28 , 29-Дек-16, (53) +2   Это тоже самое что и http www opennet ru opennews art shtml num 45643, burik666 (ok), 21:46 , 27-Дек-16, (4) В комментарии к прошлой новости я ссылки кидал https www opennet ru openforum , Аноним (-), 21:50 , 27-Дек-16, (5) –2 // юзать стороние пхп скрипты да ещё с такими сомнительными функциями как exec, sys, Sw00p_aka_Jerom (ok), 02:24 , 28-Дек-16, (17) +2 // Ждем когда эти девы выпилят exec, system и прицепят нормальный интерфейс сборки , Аноним (-), 04:53 , 28-Дек-16, (20) +1 // Так суть не в выпиливании, а в правильном использовании, а из ваших слов ввходит, Sw00p_aka_Jerom (ok), 13:41 , 28-Дек-16, (37) +1 Выпиливать возможность прямого системного вызова - это как раз для макак А обер, KonstantinB (ok), 14:10 , 28-Дек-16, (39) –1 Пользователи всякого устаревшего php-хлама - должны страдать , th3m3 (ok), 22:18 , 27-Дек-16, (6) –6 // Не пользователи, а заказчики WP еще долго будет царствовать в клозетах и голова, Аноним (-), 22:29 , 27-Дек-16, (7) +1 Drupal с многомиллионными инвестициями и огромным сообществом крутых разрабов см, Аноним (-), 07:12 , 28-Дек-16, (22) +3 // сразу виден икспертный специалист в этом деле который написал целых пару сайтов, Аноним (-), 17:08 , 28-Дек-16, (46) –2 // Это лишь файл wp-login php из ядра https github com WordPress WordPress blob m, YCA4 (ok), 09:06 , 29-Дек-16, (58) +2 Столько денег вбухали в Drupal, а он как был УГ на php, так и остался Могли бы , th3m3 (ok), 14:22 , 07-Янв-17, (60) клоун - посмотри требования на https wordpress org about requirements php 7 ил, Аноним (-), 17:03 , 28-Дек-16, (45) // А ещё можно сразу использовать что-то более адекватное и современное , th3m3 (ok), 14:24 , 07-Янв-17, (61) К слову о статической линковке PS к TYPO3 кто-то лет десять тому сделал плаги, Michael Shigorin (ok), 22:39 , 27-Дек-16, (8) –4 Этим не ограничится, PHPMailer жуткий комбайн в котором встроен SMTP-сервер, сис, uldus (ok), 22:56 , 27-Дек-16, (9) +1 Marcus Bointon PHP - sucks, Аноним (-), 00:02 , 28-Дек-16, (13) +1 хорошая либа, кстати а по поводу уязвимости - таких вагон где угодно просто в с, Gemorroj (ok), 00:15 , 28-Дек-16, (14) +2 // Пути пхпистов неисповедимы, да , Аноним (-), 10:00 , 28-Дек-16, (32) +1 Еще надо найти жертву с настоящим сендмейлом, что непросто Все известные мне mt, KonstantinB (ok), 07:20 , 28-Дек-16, (23) +1 Кстати, в php-шном же SwiftMailer аналогичную уязвимость исправили 2 5 года наза, KonstantinB (ok), 07:27 , 28-Дек-16, (24) // Исправили Напишут новую , Аноним (-), 08:20 , 28-Дек-16, (25) // Я к тому, что это, похоже, общее уязвимое место - и не только для php Да и прав, KonstantinB (ok), 08:32 , 28-Дек-16, (26) +1 Хех Написали Точнее, в тот раз исправили аналогичную, но в sendmail-транспорте, KonstantinB (ok), 07:49 , 29-Дек-16, (54) Это в каком проекте нет валидации email Или это валидный email Attacker , Аноним (-), 08:40 , 28-Дек-16, (28) // Это валидный EMail RFC допускает использование пробелов при выделении кавычками, Аноним (-), 08:53 , 28-Дек-16, (29) +2 // Ага Можно сделать себе емейл типа , domain tld и троллить всех багр, KonstantinB (ok), 10:14 , 28-Дек-16, (33) +1 с какого перепугу валидный email_from attacker -oQ tmp -X var www cache , Аноним (-), 17:11 , 28-Дек-16, (47) // С такого, что валидность обычно таки определяетcя общепризнанным RFC, а не кон, Аноним84701 (ok), 17:28 , 28-Дек-16, (48) +1 для WordPress приоритет на тикет поставил абсолютно левый человек зарегистрирова, Sylvia (ok), 09:11 , 28-Дек-16, (31) +1 Сссылка сотнях других проектов ничего не находит , arnold (?), 12:28 , 28-Дек-16, (34) // потому что никто не пользуется этим овном, google (??), 14:20 , 28-Дек-16, (40) –1 Да забейте на эту уязвимость, исправят - обновим , Fantomas (??), 12:41 , 28-Дек-16, (35) проверил на нескольких платформах включая джумлу - ругается на невалидный эмей, Square1 (?), 13:13 , 28-Дек-16, (36) +1 брейкинньюс просто, опции -X сто лет в обед, пруф сейчас не найду, но этим хекал, Аноним (-), 13:51 , 28-Дек-16, (38) +3 // Во-первых, phpmailer сам предоставляет средства валидации email PHPMailer vali, Аноним (-), 18:58 , 28-Дек-16, (49) // вот из за таких как ты, которые реальность от жопы отличить не могут, такое и сл, Аноним (-), 21:57 , 28-Дек-16, (50) –1 // https tools ietf org html rfc3696 создан в 2004 году и как раз отражает соврем, Аноним (-), 08:07 , 29-Дек-16, (55) Там полный кабздец с самим php https gist github com Zenexer 40d02da5e07f151ad, Аноним (-), 00:41 , 29-Дек-16, (51) Ответте, плиз, как обновить phpmailer и проверить установленную версию Саппорт , Аноним (-), 08:15 , 29-Дек-16, (56) // На подходе еще 2 CVE готовь еще денег , Аноним (-), 08:54 , 29-Дек-16, (57) –1 1,4,5,6,8,9,13,14,23,24,28,31,34,35,36,38,51,56

Сообщения

[Сортировка по времени | RSS]

1. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+3 +/–
Сообщение от Аноним (-), 27-Дек-16, 21:19
php головного мозга
Ответить | Правка | Наверх | Cообщить модератору

	2. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+6 +/–
	Сообщение от A.Stahl (ok), 27-Дек-16, 21:26
	Зато они не боятся malloc/free и от чего там ещё падают в обморок Явисты-Питонисты?
	Ответить | Правка | Наверх | Cообщить модератору

	3. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+21 +/–
	Сообщение от Куяврег (?), 27-Дек-16, 21:44
	да они вообще нихрена не боятся. отчаянные люди...
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+4 +/–
	Сообщение от Alex (??), 27-Дек-16, 23:01
	Xex, malloc/free актуально для С, так что этого стоит бояться в том числе пользователям интерпретатора PHP, тем более что кажется он написан весьма чудаковато, периодически оскаливаясь различным уязвимостями, связанными с неправильным парсингом аргументов и т.п.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	30. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	–2 +/–
	Сообщение от qsdg (ok), 28-Дек-16, 09:06
	Где в Java malloc/free? O_O
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	42. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+/–
	Сообщение от Аноним (-), 28-Дек-16, 14:59
	> Где в Java malloc/free? O_O Где, где... Внутри! То, что Вы его в тексте программы не видите, абсолютно не значит, что оно не исполняется.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+/–
	Сообщение от xz (??), 29-Дек-16, 11:25
	> Где, где... Внутри! То, что Вы его в тексте программы не видите, > абсолютно не значит, что оно не исполняется. откуда он там возьмется, при живом то GC?
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+4 +/–
	Сообщение от stomper (?), 28-Дек-16, 01:08
	> php головного мозга Не важно, на каком языке ты говоришь, аноНЯшка. Важно насколько правильно и однозначно понимает тебя собеседник.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	44. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+/–
	Сообщение от Аноним (-), 28-Дек-16, 16:58
	что php головного мозга? во первых нужно всегда фильтровать пользовательский ввод данных $email_from = '"attacker\" -oQ/tmp/ -X/var/www/cache/phpcode.php  some"@email.com'; var_dump(filter_var($email_from, FILTER_VALIDATE_EMAIL)); выдаст false - и скрипт киди обломается во вторых - это уязвимость sendmail а не php
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	52. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+/–
	Сообщение от Аноним (-), 29-Дек-16, 03:26
	Ну для дураков да, но там 4 кейса включая режим "safe mode" и даже это можно обойти с Windows платформы, пример ядру пыхапэ
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+2 +/–
	Сообщение от Аноним (-), 29-Дек-16, 03:28
	> во первых нужно всегда фильтровать пользовательский ввод данных Фильтрацию можно обойти другой фильтрацией. P.S. Мы не говорим про ваш местечковый юзеркейс в хлеву.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема