2017
01
09

PHPMailer 安全性問題對 CMS 的影響[轉載自iThome]

關鍵字:PHPMailer

在 Drupal.org 官方公告說明裡,明確表示 Drupal 本身並未受到此弱點影響,除非使用者在系統中直接使用 PHPMailer 函式庫,這是由於 Drupal 並未內建 PHPMailer ,通常使用預設的 PHP mail() 指令。那究竟什麼情況會導致使用 PHPMailer 呢?常見的狀況有二:

1. 使用 PHPMailer 模組[6],這是 Drupal 第三方模組,用來介接 Drupal 與 PHPMailer,讓 Drupal 改用 PHPMailer 函式庫寄送信件。(為了區別 PHPMailer 函式庫,以下統一用 PHPMailer 模組以便跟 PHPMailer 函式庫做區隔。)

2. 使用 SMTP Authentication Support[7] 模組,另一個常用的 SMTP 寄信模組,這個模組本身夾帶了源自 PHPMailer 並經過改寫的函式庫。

SMTP 模組使用修改過的 PHPMailer 函式庫中不存在此次 PHPMailer 所帶來的弱點問題。在 Drupal.org 官方的公告特別解釋 SMTP 模組近期所公告的安全性修正,與 PHPMailer 錯誤是不相關的。

而 PHPMailer 模組在程式碼當中遵循 RFC 5322 的網址與 Email 格式規範[8],在寄送信件之前,會使用 regex 做信件地址格式檢查[9],以確保送出的地址格式正確,避免了遠端執行程式攻擊的問題。

如果您仍然是 Drupal 6 的使用者或維護人員,並且僅使用 PHPMailer 函式庫的 SMTP 寄件功能,由於 Drupal 6 所使用的 PHPMailer 模組所使用的第三方 PHPMailer 函式庫為 5.1 或更久之前的版本,因此可參考 David Snopek 撰文[10]所建議的做法,將有問題的 Sendmail() 、 MailSend() 等程式碼禁用或刪除。

詳細內容請參考http://www.ithome.com.tw/guest-post/110934

 

傑立資訊傑立資訊事業有限公司

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.