Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

Andynium · 27. Dezember 2016 14:09

Wie gestern bekannt wurde, ist eine schwerwiegende Remote-Code-Execution-Lücke im PHPMailer entdeckt worden

https://legalhackers.com/advisories/PHP … -Vuln.html

Demnach kann die Lücke über Kontaktformulare, Registrierungsformulare oder Passwort-Reset-Felder ausgenutzt werden.

Wenn man sich die im Code der Bugfixes vorgenommenen Änderungen anschaut, braucht es nicht viel Phantasie, um ungefähr zu verstehen, wie die Lücke funktioniert. So wird die Absenderadresse nicht validiert, sondern ungeprüft an Sendmail weitergegeben. Dabei könnte es zu einer Shell-Injection-Lücke kommen.

Oder einfacher formuliert - euer Server gehört damit de facto dem Angreifer.

Manche von euch werden sich da vielleicht fragen, was geht mich das an?! Sehr viel sogar!!!

Nutzt doch das im Core von CMSMS enthaltene Modul CMSMailer die bekannte PHPMailer-Bibliothek für den Versand von Nachrichten, oder grob gesagt, jedes Modul, welches die Installation des CMSMailer verlangen, ist davon betroffen.

Die betreffende Bibliothek sollte daher schnellstmöglich aktualisiert werden

https://github.com/PHPMailer/PHPMailer/ … ag/v5.2.19

Andynium · 27. Dezember 2016 14:38

Das aktualisierte CMSMailer Modul für CMSMS-1 findet ihr hier

https://www.cmsmadesimple.de/forum/view … 780#p39780

Andynium · 27. Dezember 2016 17:33

Kleine Ergänzung für CMSMS-2 - dort muss NICHT unter /module/CMSMailer/phpmailer, sondern unter /lib/phpmailer aktualisiert werden.

Andynium · 28. Dezember 2016 22:14

Seitens der .org wird hier übrigens keine Notwendigkeit gesehen, ein Update zu liefern

https://forum.cmsmadesimple.org/viewtop … 0aeeacfcdd

Hatte die in den letzten Monaten mehrfach die Gelegenheit, bestehende CMSMS-Installationen zu übernehmen. Und da waren Module installiert, die nie das Licht des Forge gesehen haben, und zudem bestimmte Dinge anders angegangen sind, als es bei CMSMS "üblich" ist (einen Coding Standard gibt es in der Form ja für CMSMS nicht).

Angesichts der Brisanz der Sicherheitslücke, dass der komplette Host kompromittiert werden kann, hätte ich hier eine andere Entscheidung getroffen - einfach, um auf Nummer Sicher zu gehen und die CMSMS-Anwender vor Schaden zu bewahren.

Denn wer hat denn dann den Schaden / Arbeit / Haftung, falls etwas passiert ... die Devs von der .org bestimmt nicht.

mike-r · 29. Dezember 2016 23:25

Mein Englisch ist nicht das beste, aber soweit ich das richtig verstehe (und soweit die Ausführungen tatsächlich richtig sind) erscheinen mir die Erklärungen vom grossen Zampano ausnahmsweise mal nicht so ganz blöd.

Ma blöd gefragt: gesetzt den Fall, das stimmt alles so, dann ist auch ein Patch nicht lebensnotwendig, oder doch?

Andynium · 29. Dezember 2016 00:21

War meinerseits nicht negativ gemeint ... nur bin ich der Meinung, dass ein Server nicht gut genug abgesichert sein kann.

Sicherlich hat man da ein paar Module gecheckt, ob das relevant ist, aber vermutlich nicht alle. Geht ja letztens Endes darum, dass es Probleme geben kann, wenn der Webseitenbesucher den Wert für "From:" setzen kann.

Wenn du nur das CMSMS-Standard-Setup nutzt (wie im verlinkten Beitrag beschrieben), scheint der Patch nicht erforderlich zu sein.

Leider gibt es in der Nachricht keine vollständige Liste, welche Third Party Module geprüft wurden. In der Aufzählung vermisse ich z.Bsp. GBook, JM_Forum (hab selber keine Tests dazu gemacht). Da lässt man den Endanwender schon bißl im Regen stehen ... und sobald Eigenentwicklungen am Start sind, wird es noch verrückter.

Bevor ich Unmengen Fremd-Code durchschaue/prüfe, bin ich doch schneller, wenn ich die neue PHPMailer-Lib hochlade, und bin (als Hersteller/Anbieter einer Software) auf der sicheren Seite. Gerade im Open Source Bereich ist es schwierig, alle Möglichkeiten und Varianten (die der Endanwender einsetzt) zu erkennen. Da sehe ich schon eine enorme Verantwortung.

Zudem wurde heute noch mal nachgearbeitet

https://github.com/PHPMailer/PHPMailer/ … angelog.md

Der erste Fix war wohl nicht vollständig

https://legalhackers.com/advisories/PHP … ypass.html

Im Zweifelsfall erspart mir der Fix 'ne ganze Menge Support-Aufwand big_smile .

Beitrag geändert von Andynium (29. Dezember 2016 08:15)

Andynium · 29. Dezember 2016 08:10

cyberman schrieb:

Das aktualisierte CMSMailer Modul für CMSMS-1 findet ihr hier
https://www.cmsmadesimple.de/forum/view … 780#p39780

Hab es noch mal aktualisiert.

mike-r · 29. Dezember 2016 11:14

cyberman schrieb:

cyberman schrieb:
Das aktualisierte CMSMailer Modul für CMSMS-1 findet ihr hier
https://www.cmsmadesimple.de/forum/view … 780#p39780
Hab es noch mal aktualisiert.

Hier klicken, um den Code zum Kopieren zu markieren

	function GetVersion() {
		return '5.2.19';

Soll das so?

Andynium · 07. Januar 2017 15:31

mike-r schrieb:

Soll das so?

Danke für den Hinweis, soll natürlich nicht so wink .

Ist aktualisiert.

Andynium · 23. Juli 2017 10:48

Weitere Sicherheitslücke im Core des PHP-Mailers geschlossen

https://www.cmsmadesimple.de/forum/view … 489#p40489

Forum für CMS/made simple

#1 27. Dezember 2016 14:09

Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#2 27. Dezember 2016 14:38

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#3 27. Dezember 2016 17:33

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#4 28. Dezember 2016 22:14

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#5 29. Dezember 2016 23:25

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#6 29. Dezember 2016 00:21

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#7 29. Dezember 2016 08:10

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#8 29. Dezember 2016 11:14

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#9 07. Januar 2017 15:31

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

#10 23. Juli 2017 10:48

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

Fußzeile des Forums