双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號:CNTA-2017-0077

>近日，國家信息安全漏洞共享平臺（CNVD）收錄了Zeta Components Mail存在的遠程代碼執(zhí)行漏洞（CNVD-2017-33788、對應CVE-2017-15806）。遠程攻擊者利用漏洞可通過構造惡意郵件在目標系統(tǒng)上執(zhí)行任意代碼。漏洞細節(jié)和利用代碼已公開，近期被不法分子利用進行攻擊嘗試的可能性較大。

一、漏洞情況分析

Zeta Components是一個基于PHP 5實現的高質量的、通用的應用程序開發(fā)庫，該項目曾于2010年5月加入Apache Incubator，但在2012年4月退出了Apache軟件基金會。

>安全研究人員在ZetaComponents 的Mail庫中發(fā)現一個遠程代碼執(zhí)行（RCE）漏洞，該漏洞存在于Mail庫中，ezcMailMtaTransport類中的send函數。?send()?函數調用?PHP mail()?來發(fā)送郵件, 通常PHP會使用sendmail作為默認的MTA，當mail()函數被調用的時候，它的第五個參數$additionalParameters將允許向sendmail傳入額外的參數。在Mail庫中，給$additionalParameters賦值的代碼為：$additionalParameters= "-f{$mail->returnPath->email}”，如果攻擊者通過偽造郵箱地址（例如：‘attacker@outlook.com-X/var/www/html/cache/exploit.php’），再將payload放在郵件正文中，sendmail就會將日志寫入/var/www/html/cache/exploit.php文件中（向sendmail傳入-Xlogfile，會寫入日志到logfile），最終導致該文件會包含郵件正文中的payload，通過遠程訪問 #域名#/cache/exploit.php就能夠執(zhí)行payload。該漏洞利用需要滿足三個條件:1、使用ezcMailMtaTransport；2、使用sendmail作為MTA；3、對ezcMailAddress未做正確轉義。CNVD對上述漏洞的綜合評級為“高危”。

二、漏洞影響范圍

>漏洞影響Mail 1.8.1及之前的版本。

三、漏洞修復建議

廠商已發(fā)布修復補丁，建議升級Mail到1.8.2：

https://github.com/zetacomponents/Mail

附：參考鏈接：

https://github.com/zetacomponents/Mail/releases

https://kay-malwarebenchmark.github.io/blog/cve-2017-15806-critical-rce-vulnerability/

http://www.cnvd.org.cn/flaw/show/CNVD-2017-33788