Update: Kritische Sicherheitslücke in PHPmailer - betrifft u.a. Wordpress, Drupal, Joomla

27. Dezember 2016

Update: 28. Dezember 2016

Beschreibung

Update 28. Dezember 2016
Wie in einem weiteren Advisory bekanntgegeben, ist der verfügbare Patch füfr die Schwachstelle CVE-2016-10033 fehlerhaft und schliesst die Lücke nicht vollständig.

CVE-Nummer: CVE-2016-10045

Der Sicherheitsforscher Dawid Golunski hat bekanntgegeben, dass es eine schwerwiegende Sicherheitslücke in PHPMailer gibt, einer PHP-Klasse zum Versand von E-Mails.

CVE-Nummer: CVE-2016-10033

Entsprechend fehlerbereinigte Versionen sind verfügbar.

Auswirkungen

Durch Ausnützen dieser Lücke kann ein Angreifer laut dem Sicherheitsforscher Code mit den Rechten des Webservers ausführen und so potentiell die Kontrolle über betroffene Systeme übernehmen.
Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

Betroffene Systeme

Update 28. Dezember 2016
  • Alle Versionen von PHPMailer bis inklusive 5.2.20
  • Alle Versionen von PHPMailer vor 5.2.18
Zu beachten ist, dass diese PHP-Klasse von vielerlei, weit verbreiteter, freier Software verwendet wird. Ein Auszug aus der Entwicklerseite:
"Probably the world's most popular code for sending email from PHP! Used by many open-source projects: WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla! and many more"
Weiters besteht die Möglichkeit, dass auch andere Bibliotheken / Module zum Mailversand, die auf der mail()-Funktion von PHP basieren, auf sehr ähnliche Weise angreifbar sind.

Abhilfe

Update 28. Dezember 2016
Momentan ist für die Schwachstelle mit der CVE-Nummer 2016-10045 noch kein Patch verfügbar:
The vendor has been working on a new patch which should be published shortly.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend updaten - die aktuelle Version ist immer via https://cert.at abrufbar.

Einspielen des von den Entwicklern zur Verfügung gestellten Updates.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Advisory des Sicherheitsforschers (englisch)
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
mail() auf php.net (englisch)
https://secure.php.net/manual/en/function.mail.php
Projekthomepage (englisch)
https://github.com/PHPMailer/PHPMailer
Advisory des DFN-CERT
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2140/
Advisory des Joomla Project (englisch)
https://developer.joomla.org/security-centre/668-20161205-phpmailer-security-advisory.html
Advisory für den verwundbaren Patch (englisch)
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html