Update: Kritische Sicherheitslücke in PHPmailer - betrifft u.a. Wordpress, Drupal, Joomla
27. Dezember 2016
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.Entwicklerseite:
Einspielen des von den Entwicklern zur Verfügung gestelltenUpdates.
Informationsquelle(n):
Advisory des Sicherheitsforschers (englisch)
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
mail() auf php.net (englisch)
https://secure.php.net/manual/en/function.mail.php
Projekthomepage (englisch)
https://github.com/PHPMailer/PHPMailer
Advisory des DFN-CERT
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2140/
Advisory des Joomla Project (englisch)
https://developer.joomla.org/security-centre/668-20161205-phpmailer-security-advisory.html
Advisory für den verwundbaren Patch (englisch)
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html
Update: 28. Dezember 2016
Beschreibung
Update 28. Dezember 2016
Wie in einem weiteren Advisory bekanntgegeben, ist der verfügbare Patch füfr die Schwachstelle CVE-2016-10033 fehlerhaft und schliesst die Lücke nicht vollständig.
Der Sicherheitsforscher Dawid Golunski hat bekanntgegeben,
dass es eine schwerwiegende Sicherheitslücke in PHPMailer gibt, einer
PHP-Klasse zum Versand von E-Mails.
Wie in einem weiteren Advisory bekanntgegeben, ist der verfügbare Patch füfr die Schwachstelle CVE-2016-10033 fehlerhaft und schliesst die Lücke nicht vollständig.
CVE-Nummer: CVE-2016-10045
CVE-Nummer: CVE-2016-10033
Entsprechend fehlerbereinigte Versionen sind verfügbar.
Auswirkungen
Durch Ausnützen dieser Lücke kann ein Angreifer laut dem Sicherheitsforscher Code mit den Rechten des Webservers ausführen und so potentiell die Kontrolle über betroffene Systeme übernehmen.Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Betroffene Systeme
Update 28. Dezember 2016
- Alle Versionen von PHPMailer bis inklusive 5.2.20
- Alle Versionen von PHPMailer vor 5.2.18
"Probably the world's most popular code for sending email from PHP! Used by many open-source projects: WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla! and many more"Weiters besteht die Möglichkeit, dass auch andere Bibliotheken / Module zum Mailversand, die auf der mail()-Funktion von PHP basieren, auf sehr ähnliche Weise angreifbar sind.
Abhilfe
Update 28. Dezember 2016
Momentan ist für die Schwachstelle mit der CVE-Nummer 2016-10045 noch kein Patch verfügbar:
Momentan ist für die Schwachstelle mit der CVE-Nummer 2016-10045 noch kein Patch verfügbar:
The vendor has been working on a new patch which should be published shortly.Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at abrufbar.
Einspielen des von den Entwicklern zur Verfügung gestellten
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Advisory des Sicherheitsforschers (englisch)
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
mail() auf php.net (englisch)
https://secure.php.net/manual/en/function.mail.php
Projekthomepage (englisch)
https://github.com/PHPMailer/PHPMailer
Advisory des DFN-CERT
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2140/
Advisory des Joomla Project (englisch)
https://developer.joomla.org/security-centre/668-20161205-phpmailer-security-advisory.html
Advisory für den verwundbaren Patch (englisch)
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html