In den letzten Tagen des Jahres 2016 erreichte uns die Meldung, dass eine wichtige PHP-Bibliothek, PHPMailer, offensichtlich Sicherheitslücken aufweist. Aufgrund derer kann man unter Umständen externen Code zur Anwendung bringen. PHPMailer wird in vielen Open-Source-Webanwendungen verwendet, um Mail aus der Anwendung heraus zu verschicken, zum Beispiel für die Passwort-Wiederherstellungsfunktion, für Alerts und andere Mitteilungen. Zu den Applikationen, die PHPMailer benutzen gehören Joomla, Drupal und WordPress. Inzwischen gibt es erste Reaktionen.
„Update: Was wurde aus dem Sicherheitsproblem mit PHPMailer?“ weiterlesen
Sicherheitslücke in PHPMailer entdeckt – beliebte Webapplikationen betroffen
Dawid Golunski von der Gruppe „legalhackers.com“ weist auf eine schwere Sicherheitslücke in PHPMailer hin. Dies ist während der Weihnachtsfeiertage offenbar unbeabsichtigt bekannt geworden. PHPMailer ist eine Bibliothek, die in vielen anderen Open-Source-Anwendungen Verwendung findet und sozusagen mit der Installation diverser Anwendungen mitgeliefert wird.
Durch einen Fehler sei es möglich, externen Code auszuführen, heißt es übereinstimmend in mehreren Presseberichten. Daher sollten alle, die PHPMailer einsetzen, die neuste Version einspielen. Die neuster Version trägt die Nummer 5.2.19. Allerdings soll auch 5.2.18 nicht betroffen sein. Diese ist von dem Sicherheitsproblem nach aktueller gängiger Expertenmeinung nicht betroffen.
In Joomla, Drupal und WordPress wird PHPMailer verwendet, zusätzlich in einer Reihe anderer, weniger populärer Anwendungen. Bei WordPress wurden die entsprechenden Dateien umbenannt, so dass man die Integration mit einer einfachen Dateisuche nicht entdeckt.
Die genannten Applikationen verwenden die Bibliothek, um selbst Mails zu versenden. Das ist notwendig, wenn vergessene Passwörter neu vergeben werden müssen oder Formulareingaben per Mail an den Websitebetreiber versendet werden. Anwendungen wie WordPress, Joomla und Drupal werden voraussichtlich bald in neuer Version vorliegen und das Problem mit PHPMailer beheben.
Sicherheitsforscher vermuten, dass ältere PHPMailer Versionen die Absenderadresse nicht überprüfen. So wird die Zeichenkette ungeprüft an das Modul Sendmail übergeben. Möglicherweise handelt es sich also um eine Shell-Injection-Problematik. Für die nächsten Tage ist ein sogenannter Proof of concept angekündigt, der weitere Details enthalten wird.