Nemrég látott napvilágot az a biztonsági figyelmeztetés, amely a Webgalamb hírlevél kezelő program többféle komoly sérülékenységére hívja fel a figyelmet. A Webgalambot használó weboldalak és tárhelyek így potenciálisan veszélyben vannak a hibák javításáig.
FONTOS!
Amennyiben ügyfelünk vagy és Webgalambot használsz, mindenképpen javasoljuk, hogy távolítsd el a programot a tárhelyedről a javításig!
A webgalamb hírlevél küldő szoftver felderített hibái a következők:
- Információ szivárgás: olyan logfájlt generál a szoftver, amelyben érzékeny adatok, például bejelentkezési adatok és jelszavak lehetnek
- SQL injection: távolról futtatott kóddal kártékony kód, spam reklám elhelyezése az adatbázisban
- Hitelesítés megkerülése: letölthetővé válik az adatbázis – ez pedig a feliratkozók adatainak szivárgását teszi lehetővé
- Cross Side Scripting (XSS) az adminisztrátor támadásához
- HTTP POST kérésekkel lehetővé válik az adminisztrátori jelszó megváltoztatása és így a bejelentkezés az admin felületre
- Fájlok feltöltésének lehetősége, így malware és spam terjesztése a tárhelyen keresztül
- Távoli kód futtatása hitelesítés nélkül
A fentebbi listából látszik, hogy a sérülékenységek kihasználásával illetéktelenek gyakorlatilag bármihez hozzáférnek a tárhelyen, beleértve az adatbázist, a teljes tárhelyen folyó levelezést, és ez által például olyan személyes adatokhoz is, amik levélben érkeznek (bankszámla kivonat, vásárlások, belépési adatok stb.)
Jó tudni!
A feltört tárhely nem jelent veszélyt sem a szerverünkre, sem pedig a többi tárhelyre, mert a Tárhelypark szervereinek felhasználói operációs rendszer szinten el vannak szeparálva egymástól, így egy-egy felhasználó nem is látja a többi usert. Ennek ellenére nem engedjük, hogy illetéktelen program fusson a szerveren, így a feltört tárhelyet minden esetben felfüggesztjük!
Fontos megjegyezni, hogy a Webgalamb szoftverrel végzett hírlevél küldést alap esetben nem engedélyezzük a tárhelyeken csak kiegészítő Hírlevél küldő csomaggal! Ha hírlevelet küldenél, inkább azt javasoljuk használj erre szakosodott online hírlevél küldő szolgáltatót, mert a webtárhelynél sokkal jobb megoldásokat kínálnak.