[Warning] Kritische Sicherheitslücke in PHPmailer - Patch verfügbar - betrifft u.a. Wordpress, Drupal, Joomla

[Alexander Riepl]

  Kritische Sicherheitslücke in PHPmailer - Patch verfügbar - betrifft u.a.
                           Wordpress, Drupal, Joomla

   27. Dezember 2016

Beschreibung

   Der Sicherheitsforscher Dawid Golunski hat [1]bekanntgegeben, dass es
   eine schwerwiegende Sicherheitslücke in PHPMailer gibt, einer
   PHP-Klasse zum Versand von E-Mails.

   CVE-Nummer: CVE-2016-10033

   Entsprechend fehlerbereinigte Versionen sind verfügbar.

Auswirkungen

   Durch Ausnützen dieser Lücke kann ein Angreifer laut dem
   Sicherheitsforscher Code mit den Rechten des Webservers ausführen und
   so potentiell die Kontrolle über betroffene Systeme übernehmen.
   Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
   erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

     * Alle Versionen von PHPMailer vor 5.2.18

   Zu beachten ist, dass diese PHP-Klasse von vielerlei, weit
   verbreiteter, freier Software verwendet wird. Ein Auszug aus der
   Entwicklerseite:

     "Probably the world's most popular code for sending email from PHP!
     Used by many open-source projects: WordPress, Drupal, 1CRM,
     SugarCRM, Yii, Joomla! and many more"

   Weiters besteht die Möglichkeit, dass auch andere Bibliotheken / Module
   zum Mailversand, die auf der [2]mail()-Funktion von PHP basieren, auf
   sehr ähnliche Weise angreifbar sind.

Abhilfe

   Einspielen des von den Entwicklern zur Verfügung gestellten [3]Updates.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die
   "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen,
   sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu
   halten.
     __________________________________________________________________

   Informationsquelle(n):
   Advisory des Sicherheitsforschers (englisch)
   [1]https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Ex
   ec-CVE-2016-10033-Vuln.html
   mail() auf php.net (englisch)
   [2]https://secure.php.net/manual/en/function.mail.php
   Projekthomepage (englisch)
   [3]https://github.com/PHPMailer/PHPMailer
   Advisory des DFN-CERT
   [4]https://portal.cert.dfn.de/adv/DFN-CERT-2016-2140/
   Advisory des Joomla Project (englisch)
   [5]https://developer.joomla.org/security-centre/668-20161205-phpmailer-
   security-advisory.html

-- 
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 854 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20161227/bf7ebd8e/attachment.sig>