Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в PHPMailer, применяемом в WordPress,..., opennews (??), 27-Дек-16, (0) [смотреть все] php головного мозга, Аноним (-), 21:19 , 27-Дек-16, (1) +3 // Зато они не боятся malloc free и от чего там ещё падают в обморок Явисты-Питонис, A.Stahl (ok), 21:26 , 27-Дек-16, (2) +6 // да они вообще нихрена не боятся отчаянные люди , Куяврег (?), 21:44 , 27-Дек-16, (3) +21 Xex, malloc free актуально для С, так что этого стоит бояться в том числе пользо, Alex (??), 23:01 , 27-Дек-16, (10) +4 Где в Java malloc free O_O, qsdg (ok), 09:06 , 28-Дек-16, (30) –2 // Где, где Внутри То, что Вы его в тексте программы не видите, абсолютно не зн, Аноним (-), 14:59 , 28-Дек-16, (42) откуда он там возьмется, при живом то GC , xz (??), 11:25 , 29-Дек-16, (59) Не важно, на каком языке ты говоришь, аноНЯшка Важно насколько правильно и одно, stomper (?), 01:08 , 28-Дек-16, (16) +4 что php головного мозга во первых нужно всегда фильтровать пользовательский ввод, Аноним (-), 16:58 , 28-Дек-16, (44) // Ну для дураков да, но там 4 кейса включая режим safe mode и даже это можно обо, Аноним (-), 03:26 , 29-Дек-16, (52) Фильтрацию можно обойти другой фильтрацией P S Мы не говорим про ваш местечковы, Аноним (-), 03:28 , 29-Дек-16, (53) +2 Это тоже самое что и http www opennet ru opennews art shtml num 45643, burik666 (ok), 21:46 , 27-Дек-16, (4) В комментарии к прошлой новости я ссылки кидал https www opennet ru openforum , Аноним (-), 21:50 , 27-Дек-16, (5) –2 // юзать стороние пхп скрипты да ещё с такими сомнительными функциями как exec, sys, Sw00p_aka_Jerom (ok), 02:24 , 28-Дек-16, (17) +2 // Ждем когда эти девы выпилят exec, system и прицепят нормальный интерфейс сборки , Аноним (-), 04:53 , 28-Дек-16, (20) +1 // Так суть не в выпиливании, а в правильном использовании, а из ваших слов ввходит, Sw00p_aka_Jerom (ok), 13:41 , 28-Дек-16, (37) +1 Выпиливать возможность прямого системного вызова - это как раз для макак А обер, KonstantinB (ok), 14:10 , 28-Дек-16, (39) –1 Пользователи всякого устаревшего php-хлама - должны страдать , th3m3 (ok), 22:18 , 27-Дек-16, (6) –6 // Не пользователи, а заказчики WP еще долго будет царствовать в клозетах и голова, Аноним (-), 22:29 , 27-Дек-16, (7) +1 Drupal с многомиллионными инвестициями и огромным сообществом крутых разрабов см, Аноним (-), 07:12 , 28-Дек-16, (22) +3 // сразу виден икспертный специалист в этом деле который написал целых пару сайтов, Аноним (-), 17:08 , 28-Дек-16, (46) –2 // Это лишь файл wp-login php из ядра https github com WordPress WordPress blob m, YCA4 (ok), 09:06 , 29-Дек-16, (58) +2 Столько денег вбухали в Drupal, а он как был УГ на php, так и остался Могли бы , th3m3 (ok), 14:22 , 07-Янв-17, (60) клоун - посмотри требования на https wordpress org about requirements php 7 ил, Аноним (-), 17:03 , 28-Дек-16, (45) // А ещё можно сразу использовать что-то более адекватное и современное , th3m3 (ok), 14:24 , 07-Янв-17, (61) К слову о статической линковке PS к TYPO3 кто-то лет десять тому сделал плаги, Michael Shigorin (ok), 22:39 , 27-Дек-16, (8) –4 Этим не ограничится, PHPMailer жуткий комбайн в котором встроен SMTP-сервер, сис, uldus (ok), 22:56 , 27-Дек-16, (9) +1 Marcus Bointon PHP - sucks, Аноним (-), 00:02 , 28-Дек-16, (13) +1 хорошая либа, кстати а по поводу уязвимости - таких вагон где угодно просто в с, Gemorroj (ok), 00:15 , 28-Дек-16, (14) +2 // Пути пхпистов неисповедимы, да , Аноним (-), 10:00 , 28-Дек-16, (32) +1 Еще надо найти жертву с настоящим сендмейлом, что непросто Все известные мне mt, KonstantinB (ok), 07:20 , 28-Дек-16, (23) +1 Кстати, в php-шном же SwiftMailer аналогичную уязвимость исправили 2 5 года наза, KonstantinB (ok), 07:27 , 28-Дек-16, (24) // Исправили Напишут новую , Аноним (-), 08:20 , 28-Дек-16, (25) // Я к тому, что это, похоже, общее уязвимое место - и не только для php Да и прав, KonstantinB (ok), 08:32 , 28-Дек-16, (26) +1 Хех Написали Точнее, в тот раз исправили аналогичную, но в sendmail-транспорте, KonstantinB (ok), 07:49 , 29-Дек-16, (54) Это в каком проекте нет валидации email Или это валидный email Attacker , Аноним (-), 08:40 , 28-Дек-16, (28) // Это валидный EMail RFC допускает использование пробелов при выделении кавычками, Аноним (-), 08:53 , 28-Дек-16, (29) +2 // Ага Можно сделать себе емейл типа , domain tld и троллить всех багр, KonstantinB (ok), 10:14 , 28-Дек-16, (33) +1 с какого перепугу валидный email_from attacker -oQ tmp -X var www cache , Аноним (-), 17:11 , 28-Дек-16, (47) // С такого, что валидность обычно таки определяетcя общепризнанным RFC, а не кон, Аноним84701 (ok), 17:28 , 28-Дек-16, (48) +1 для WordPress приоритет на тикет поставил абсолютно левый человек зарегистрирова, Sylvia (ok), 09:11 , 28-Дек-16, (31) +1 Сссылка сотнях других проектов ничего не находит , arnold (?), 12:28 , 28-Дек-16, (34) // потому что никто не пользуется этим овном, google (??), 14:20 , 28-Дек-16, (40) –1 Да забейте на эту уязвимость, исправят - обновим , Fantomas (??), 12:41 , 28-Дек-16, (35) проверил на нескольких платформах включая джумлу - ругается на невалидный эмей, Square1 (?), 13:13 , 28-Дек-16, (36) +1 брейкинньюс просто, опции -X сто лет в обед, пруф сейчас не найду, но этим хекал, Аноним (-), 13:51 , 28-Дек-16, (38) +3 // Во-первых, phpmailer сам предоставляет средства валидации email PHPMailer vali, Аноним (-), 18:58 , 28-Дек-16, (49)   // вот из за таких как ты, которые реальность от жопы отличить не могут, такое и сл, Аноним (-), 21:57 , 28-Дек-16, (50) –1   // https tools ietf org html rfc3696 создан в 2004 году и как раз отражает соврем, Аноним (-), 08:07 , 29-Дек-16, (55)   Там полный кабздец с самим php https gist github com Zenexer 40d02da5e07f151ad, Аноним (-), 00:41 , 29-Дек-16, (51) Ответте, плиз, как обновить phpmailer и проверить установленную версию Саппорт , Аноним (-), 08:15 , 29-Дек-16, (56) // На подходе еще 2 CVE готовь еще денег , Аноним (-), 08:54 , 29-Дек-16, (57) –1 1,4,5,6,8,9,13,14,23,24,28,31,34,35,36,38,51,56

Сообщения

[Сортировка по времени | RSS]

	49. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+/–
	Сообщение от Аноним (-), 28-Дек-16, 18:58
	> может нормально отвалидировать email(пробелы/бекслеши -_-) и юзает phpmailer то уж извините Во-первых, phpmailer сам предоставляет средства валидации email (PHPMailer::validateAddress()), которые и используются в CMS. Во-вторых, пробелы и кавычки входят в число допустимых символов в соответствии с RFC 3696, т.е. "test with spaces"@email.com считается корректным.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	–1 +/–
	Сообщение от Аноним (-), 28-Дек-16, 21:57
	вот из за таких как ты, которые реальность от жопы отличить не могут, такое и случается когда спецификация почты была создана? бл**ь как фреймворки на js дак вы каждый день пишите, а то что тут 20 лет прошло, головой думать учиться учиться
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Критическая уязвимость в PHPMailer, применяемом в WordPress,..."	+/–
	Сообщение от Аноним (-), 29-Дек-16, 08:07
	> когда спецификация почты была создана? https://tools.ietf.org/html/rfc3696 создан в 2004 году и как раз отражает современные реалии. То что вы на стандарты предлагайте плевать в угоду вашему личному мировосприятию чести вам не делает.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема