PHP Mail Kütüphanelerinde RCE Flaw’ları Keşfedildi. Hemen Güncelleyin!

PHP Mail Kütüphanelerinde RCE Flaw’ları Keşfedildi. Hemen Güncelleyin!
Ocak 09 12:07 2017 Yazıyı Yazdır

Polonyalı bir güvenlik araştırmacısı, yayınladığı raporda en popüler açık kaynak PHP e-posta gönderim kütüphanelerinde açık olduğunu belirtti. Dawid Golusnki isimli araştırmacı, daha önce PHPMailer‘da açık olduğunu, bunun da dünyadaki 9 milyon kullanıcıyı etkileyeceğini belirtmişti. Geliştiriciler, açığın 5.2.18 sürümü ile kapatıldığını belirtti. Ancak diğer taraftan Golunski, yamalanmış sürümü de bypass etmeyi başardı. Neyse ki adı geçen açık, şu an için 5.2.20 sürümü ile kapatılmış görünüyor.

SwiftMailer de bir başka popüler PHP kütüphanelerinden biri. Bu kütüphane de Yii, Laravel, Symfony gibi pek çok önemli açık kaynak projede kullanılıyor. CVE-2016-10074 açığı da PHPMailer’daki gibi SwiftMailer sınıfını kullanarak tüm siteyi ele geçirmeye imkan tanıyor. Sitede bulunan iletişim ve kayıt formları üzerinden yapılan saldırılar neticesinde, web sunucusunda zararlı kod çalıştırılarak siteyi hacklemek mümkün. Kütüphanenin 5.4.5 sürümü ile bu açıktan kurtulabilirsiniz.

Bir diğer önemli kütüphane de ZendMail. Dünya üzerinde 95 milyondan fazla Zend Framework ile geliştirilmiş uygulama bulunuyor. Dolayısıyla bu uygulamalar da CVE-2016-10034 açığı sebebiyle büyük tehlike altında. Golunski’nin Zend yetkililerine konuyu bildirmesi üzerine, geliştiriciler gerekli yamayı bir günde yayınladılar.

Golunski ayrıca PwnScriptum adını verdiği, PHPMailer, SwiftMailer ve ZendMail’deki zaafiyetler hakkında üçü bir arada exploit’i de yayınlamış durumda.

  Kategori:
daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

Atalay Keleştemur, siber istihbarat analisti ve PHP güvenlik uzmanı olarak görev yapmaktadır. Linux ve özgür yazılım gönüllüsüdür. Çeşitli kurumlarda sistem yöneticisi ve yazılım geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarıdır.

Daha Fazla Yazı
yorum yapın

1 Yorum

  1. İsmi lazım değil
    Ocak 12, 19:52 #1 İsmi lazım değil

    Senin makalenin altında Bangladeş haber başlığı tuhaf!

    Reply to this comment

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.