原标题:开源邮件函示库PHPMailer惊爆漏洞,WordPress和Drupal上百万个网站安全拉警报
资安研究人员Dawid Golunski本周日(12/25)揭露一藏匿在PHPMailer的安全漏洞,将允许远端骇客执行任意程式,估计影响数百万个网站PHPMailer开发团队则在一周内释出两次更新以修补该漏洞。
PHPMailer为一可用来安全运送邮件的函式库,是全球最受欢迎的PHP邮件寄送函式库之一,包括WordPress、Drupal及Joomla!等开源CMS平台都使用PHPMailer,Golunski估计PHPMailer的全球用户超过900万。
Golunski说明,骇客可藉由各种常见的网站元件送出电子邮件以开採此一编号为CVE-2016-10033的安全漏洞,例如联络/意见格式、注册格式,或是电子邮件密码重置等,成功的开採将可危害网路应用程式,或是针对网站伺服器的使用者进行远端程式攻击,影响所有的PHPMailer版本。
PHPMailer团队已在上周六(12/24)释出PHPMailer 5.2.18修补了CVE-2016-10033,不过,Golunski随后便发现他能绕过此一修补程式,促使该团队于本周三(12/28)再度释出5.2.20进行修补。
有鉴于该漏洞的严重性,再加上已有攻击程式在网路上流传,让向来不针对第三方函式库发出公告的Drupal也发声,提醒採用PHPMailer的Drupal用户儘速更新。
相关:
资安周报第55期:中国过半地方政府和地方企业网站有XSS漏洞,高于台湾
根据「2016年上半年中国网站安全报告」,扫描38.2万个网站后发现,共有网站安全漏洞1,480.5万个漏洞,平均每个网站有773个漏洞,高危险漏洞数量为22个,比去年同期增加17.5%。 图片来源: 2016年上半年中国网站安全
▲配合政府一例一休政策,明年部分周六邮局停止营业。中华邮政表示,31日当天原星期六有营业的邮局仍照常营业,1月1日至1月2日全台邮局一律停止营业。至于投入信筒的邮件,除了31日限时邮件照常收揽外,其余邮件停止
在今年圣诞购物热季,亚马逊网站生意无比兴隆,据统计共卖掉1万多克拉的钻石,手表更是平均每1.5秒就卖掉1只,而买气最旺的单品则是语音助理声控装置Echo Dot。根据统计,在这个圣诞购物季节,12月19日是亚马逊网站
奖金猎人找到价值5000美元的脸书漏洞,可找到任何用户的电邮帐号
示意图,与新闻事件无关。 图片来源: Facebook 一名专门参与各种抓漏奖励(Bug Bounty)专案的软体工程师Tommy DeVoss上周表示他找到了一个可以揭漏任何脸书(Facebook)用户电子邮件帐号的安全漏洞,并获得了500
示意图,与新闻事件无关。 图片来源: U.S. Customs and Border Protection 美国海关及边境保护局(U.S. Customs and Border Protection,CBP)本周悄悄地开始要求38个参与免签证计画(Visa Waiver Program)的境外