Facebook

Spende ans Forum

Wer ist online?

Klappen
Benutzer: 1
Gäste: 20

Seite bookmarken

Facebook
Twitter
Google

Powered by All-Inkl.com

Forum - Sicherheitslücke in PHPMailer

Offline rothaermel Weiblich
Neuling
0
2 Punkte
Homepage Persönliche Nachricht senden
Sicherheitslücke in PHPMailer
# 1 Zum Seitenanfang
Lücke in PHPMailer erlaubt die Ausführung fremden Codes

Welche Hilfe kann Siquando hierzu anbieten?

Sicherheitsforscher haben eine Lücke in der weit verbreiteten Webmail-Bibliothek PHPMailer veröffentlicht: Eine fehlerhafte Eingabeüberprüfung lässt sich zum Ausführen externen Codes missbrauchen.

David Golinski von der Gruppe Legal Hackers hat Informationen zu einer kritischen Lücke in PHPMailer veröffentlicht (CVE-2016-10033). Ein Fehler in der weit verbreiteten PHP-Bibliothek führt dazu, dass die über ein Webformular eingetragenen Absenderdaten ungeprüft an Sendmail weitergereicht werden. Mit entsprechenden Eingaben lässt sich in Versionen vor 5.2.18 darüber Shellcode in den Aufruf injizieren, der mit den Rechten des Webserver-Users ausgeführt wird.

Vor allem PHP-Content-Management-Systeme nutzen die Bibliothek unter anderem für Anmelde-, Feedback-, Kontakt- oder Passwortrücksetzungsformulare. Golinski führt exemplarisch 1CRM, Drupal, Joomla!, SugarCRM, WordPress sowie Yii auf. Zwar haben die PHPMailer-Entwickler den Fehler inzwischen behoben, allerdings dürfte es noch etwas dauern, bis alle darauf aufbauenden Projekte die Änderungen übernommen haben. Nutzern empfiehlt der Sicherheitsexperte, ihre Systeme umgehend auf die gepatchten Versionen zu aktualisieren.

Für den Zeitpunkt der Veröffentlichung, die als reichlich unpassende Weihnachtsüberraschung empfunden werden konnte, entschuldigte sich Golunski. Einer der betroffenen Hersteller habe vorzeitig zentrale Informationen zu der Lücke veröffentlicht, die potenziellen Angreifern helfen könnten. Er kündigte heute per Twitter an, ein vollständiges Advisory sowie ein Video mit seinem Proof for Concept online zu stellen. Inzwischen gibt es für die Lücke auch einen Namen nebst dazugehöriger Webseite: PwnScriptum. (avr)

 

Quelle: Heise online vom 27.12.2016 12:58

Dieser Beitrag wurde bereits 1 mal bearbeitet, zuletzt von »Thomas« (29.12.2016, 11:34)

Bild 27.12.2016, 18:47
Offline Volker W. Männlich
Administrator
012345
5195 Punkte
Homepage Persönliche Nachricht senden
RE:Sicherheitslücke bei sendmail
# 2 Zum Seitenanfang

Keine Ahnung. Wie auch ... !?

Hast Du das denn ebenfalls Siquando direkt mitgeteillt? Schließlich müßte ein entsprechender Patch auch von Siquando selbst in die Skripte, die sendmail beinhalten, implementiert werden.

---

Viele Grüße,
Volker

Volker W. Musik & Sounds  ·  Facebook  ·  Twitter  ·  Google+  ·  StayFriends  ·  LinkedIn  ·  XING

Hilfe-Anfragen per PN, E-Mail usw. werden ab sofort nicht mehr beantwortet. Genau dafür ist dieses Forum da. Vielen Dank!

Bild 27.12.2016, 18:55
Online Thomas Männlich
Co-Admin
012345
1158 Punkte
Homepage Persönliche Nachricht senden
RE:Sicherheitslücke bei sendmail
# 3 Zum Seitenanfang

Vielen Dank für die Erstellung dieses Themas.

Ich habe das Thema unbenannt, denn die Sicherheitslücke ist/war in PHPMailer bis 5.2.18 vorhanden, die unter bestimmten Umständen per sendmail versenden, es ist also keine sendmail-Sicherheitslücke.

Siquando Shop kann mit PHPMailer erweitert werden, beispielsweise um Auftragsbestätigungen usw. per SMTP versenden zu können, was die Chancen deutlich erhöht, dass Nachrichten nicht im Spamordner landen oder abgewiesen werden. Das heißt ohne weitere Modifikation nutzt Siquando Shop (sowie jedes weitere Produkt von SiQ) KEIN PHPMailer, daher muss und braucht Siquando dazu keinerlei Hilfe anbieten.

---

Viele Grüße
Thomas

siquando-designs.de (responsives Shop und Web 9 Template mit „vertika”lem Menü, Tutorials, Templateübersichten & Support für Shop 9 + Pro Web)

Bild 29.12.2016, 11:45
Bewertung: