Sida 1 av 1

Varför djävlas folk!

Postat: 28 december 2016, 11:37:32
av Lennart Aspenryd
Återigen larm!
Detta Blixtmeddelande (BM) är en uppdatering till BM16-003 'Kritisk
Sårbarhet i PHPMailer - Skyndsam patching rekommenderas'

---

Den föreslagna åtgärden till PHPMailer sårbarheten i sista BM har visats
sig vara otillräcklig för att åtgärda sårbarheten.

CERT-SE rekommenderar att de som är berörda av sårbarheten förbereder
för att patcha så fort PHPMailer släpper en åtgärdad version[4].

Om det är möjligt rekommenderar CERT-SE att berörda försöker minska
angreppsytan till sårbarheten genom att:

a) Införa ytterligare sanering av argument som matar in till PHPMailer
innan de når till applikationen.

b) Blockera/neka åtkomst till funktioner som matar data in till PHPMailer.

CERT-SE har uppdaterat sitt råd gällande denna sårbarheten:
https://www.cert.se/2016/12/kritisk-sar ... -phpmailer

Re: Varför djävlas folk!

Postat: 28 december 2016, 12:04:25
av sodjan
Du menar att djävlas genom att skriva och släppa programvaror med brister?

Just PHP system och koder är ju/väl ökänt för att släppa igenom data från webb
formulär direkt till (t.ex) databaser ("SQL injection"). Just detta problem liknar
det väldigt mycket, där man släpper igenom webb data direkt ill PHPMailer men
principen är den samma oavsett om det är PHPMailer eller MySQL.

Re: Varför djävlas folk!

Postat: 28 december 2016, 12:06:48
av tecno
Du menar att djävlas genom att skriva och släppa programvaror med brister?
Ett otyg detta med dålig kod.

Re: Varför djävlas folk!

Postat: 28 december 2016, 12:06:59
av danielr112
Vilka djävlas? Det är väl bra att hitta bristerna eller menar du att du blivit exploitad?

Re: Varför djävlas folk!

Postat: 28 december 2016, 12:23:09
av Lennart Aspenryd
Jag menar de som som utnyttjar slika kryphål för egen vinning eller som sagt, bara för att djävlas.
Nej jag har inte, vad jag vet, blivit utsatt själv.
Ville mest vidarebefordra varningen från Cert.se

Re: Varför djävlas folk!

Postat: 28 december 2016, 12:33:39
av sodjan
Jo, det är ju bra att detta diskuteras och görs "synligt".
Varför bristerna utnyttjas? Det är väl lite som att köra
för fort *mellan* fartkamerorna... :-)

Re: Varför djävlas folk!

Postat: 28 december 2016, 13:06:58
av lillahuset
Jag tycker hackarna är jävligt irriterande men de fyller en oerhört viktig funktion. Tänk vilken rutten programvara vi skulle ha om inte hackarna höll på och jävlades. :bravo:

Re: Varför djävlas folk!

Postat: 28 december 2016, 13:54:21
av Micke_s
Nog så enkelt att det är pengar inblandade.
Spam, ddos servrar och sprida ohyra till klienter, ex kryptolocker...

Re: Varför djävlas folk!

Postat: 28 december 2016, 19:11:58
av Mr Andersson
Jo hackare fyller en viktig funktion. Däremot borde det vara skottpengar på idiotutvecklare, dvs de som efter flera decennier av olika internet-exploits fortfarande inte fattat att man ska inte skicka rådata från användare till kritisk funktion X.

Re: Varför djävlas folk!

Postat: 28 december 2016, 19:16:37
av lillahuset
Rätt så! Tacka hackarna för den insikten! :D