[Warning] Kritische Sicherheitslücke in PHPmailer - Patch verfügbar - betrifft u.a. Wordpress, Drupal, Joomla
Alexander Riepl
riepl at cert.at
Tue Dec 27 13:45:14 CET 2016
Kritische Sicherheitslücke in PHPmailer - Patch verfügbar - betrifft u.a.
Wordpress, Drupal, Joomla
27. Dezember 2016
Beschreibung
Der Sicherheitsforscher Dawid Golunski hat [1]bekanntgegeben, dass es
eine schwerwiegende Sicherheitslücke in PHPMailer gibt, einer
PHP-Klasse zum Versand von E-Mails.
CVE-Nummer: CVE-2016-10033
Entsprechend fehlerbereinigte Versionen sind verfügbar.
Auswirkungen
Durch Ausnützen dieser Lücke kann ein Angreifer laut dem
Sicherheitsforscher Code mit den Rechten des Webservers ausführen und
so potentiell die Kontrolle über betroffene Systeme übernehmen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese
erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Betroffene Systeme
* Alle Versionen von PHPMailer vor 5.2.18
Zu beachten ist, dass diese PHP-Klasse von vielerlei, weit
verbreiteter, freier Software verwendet wird. Ein Auszug aus der
Entwicklerseite:
"Probably the world's most popular code for sending email from PHP!
Used by many open-source projects: WordPress, Drupal, 1CRM,
SugarCRM, Yii, Joomla! and many more"
Weiters besteht die Möglichkeit, dass auch andere Bibliotheken / Module
zum Mailversand, die auf der [2]mail()-Funktion von PHP basieren, auf
sehr ähnliche Weise angreifbar sind.
Abhilfe
Einspielen des von den Entwicklern zur Verfügung gestellten [3]Updates.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen,
sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu
halten.
__________________________________________________________________
Informationsquelle(n):
Advisory des Sicherheitsforschers (englisch)
[1]https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Ex
ec-CVE-2016-10033-Vuln.html
mail() auf php.net (englisch)
[2]https://secure.php.net/manual/en/function.mail.php
Projekthomepage (englisch)
[3]https://github.com/PHPMailer/PHPMailer
Advisory des DFN-CERT
[4]https://portal.cert.dfn.de/adv/DFN-CERT-2016-2140/
Advisory des Joomla Project (englisch)
[5]https://developer.joomla.org/security-centre/668-20161205-phpmailer-
security-advisory.html
--
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 854 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20161227/bf7ebd8e/attachment.sig>
More information about the Warning
mailing list