Vlákno názorů k článku PHPMailer má kritickou chybu, ohrožuje miliony webů od Vít Šesták - Díval jsem se na diff opravy a nevypadá...

Díval jsem se na diff opravy a nevypadá to, že by se zranitelnost provevila při volání funkce mail. Spíše se projeví, pokud se volání mail obejde a volá se rovnou sendmail přes shell. Navíc se musí vyplnit pole from daty od útočníka.

Ale procházel jsem jen zběžně jeden diff, který někdo odkázal na Twitteru. Ten obsahoval různé vzájemně nesouvisející změny, mohl jsem něco přehlédnout, něco může být mimo tento diff nebo někdo mohl dát link na falešnou stopu.

Vycházel jsem z popisu chyby od původního objevitele. Ten to záměrně popisuje trochu mlhavě, protože nechce prozrazovat úplné detaily. Ale budu samozřejmě rád za konkrétní upřesnění, pokud je ten popis chybný.

Já vycházím z commitu https://github.com/PHPMailer/PHPMailer/commit/4835657cd639fbd09afd33307cef164edf807cdc via https://mobile.twitter.com/kyhwana/status/813310093903077380 via https://mobile.twitter.com/spazef0rze/status/813479961340342273 . Jak jsem psal, nedělal jsem detailní průzkum, jen jsem byl zvědavý.

Chápu, že se držíte oficiálního oznámení. Já bych ostatně z této rychlé analýzy taky nedělal definitivní závěry.

Pokud je toto všechno, tak mi přijde, že by objevitel/autoři byli udělali možná i lépe, kdyby to zveřejnili s podrobnostmi.

Hmm, takže fix je prý nekompletní. Hledat diiff se mi nechce.

Z https://mobile.twitter.com/spazef0rze/status/814147558008360960 .