在 Drupal.org 官方公告說明裡,明確表示 Drupal 本身並未受到此弱點影響,除非使用者在系統中直接使用 PHPMailer 函式庫,這是由於 Drupal 並未內建 PHPMailer ,通常使用預設的 PHP mail() 指令。那究竟什麼情況會導致使用 PHPMailer 呢?常見的狀況有二:
1. 使用 PHPMailer 模組[6],這是 Drupal 第三方模組,用來介接 Drupal 與 PHPMailer,讓 Drupal 改用 PHPMailer 函式庫寄送信件。(為了區別 PHPMailer 函式庫,以下統一用 PHPMailer 模組以便跟 PHPMailer 函式庫做區隔。)
2. 使用 SMTP Authentication Support[7] 模組,另一個常用的 SMTP 寄信模組,這個模組本身夾帶了源自 PHPMailer 並經過改寫的函式庫。
SMTP 模組使用修改過的 PHPMailer 函式庫中不存在此次 PHPMailer 所帶來的弱點問題。在 Drupal.org 官方的公告特別解釋 SMTP 模組近期所公告的安全性修正,與 PHPMailer 錯誤是不相關的。
而 PHPMailer 模組在程式碼當中遵循 RFC 5322 的網址與 Email 格式規範[8],在寄送信件之前,會使用 regex 做信件地址格式檢查[9],以確保送出的地址格式正確,避免了遠端執行程式攻擊的問題。
如果您仍然是 Drupal 6 的使用者或維護人員,並且僅使用 PHPMailer 函式庫的 SMTP 寄件功能,由於 Drupal 6 所使用的 PHPMailer 模組所使用的第三方 PHPMailer 函式庫為 5.1 或更久之前的版本,因此可參考 David Snopek 撰文[10]所建議的做法,將有問題的 Sendmail() 、 MailSend() 等程式碼禁用或刪除。
詳細內容請參考http://www.ithome.com.tw/guest-post/110934
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 教育人文類
網站技術:PHP . Javascript/MySql
A+ Teacher擁有國外前百大公私立大學的優良師資,線上面對面的教學方式,讓你可以實際和外籍教師互動,保證讓你愛上開口說英文。A+ Teacher有兩大特色,分別是立即上課與預約上課。
精選專案.網頁設計.RWD響應式網站 / 休閒餐飲類
網站技術:PHP . Javascript/MySql . ORACLE
RWD響應式網站設計/網頁設計,網頁切版,後台程式管理,可於各種裝置進行網頁瀏覽(PC、平板、手機)。
網頁設計.RWD響應式網站.企業形象網站 / 服務類
網站技術:PHP
網頁設計,網頁切版,後台程式管理
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策