Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 27. Dezember 2016 14:09

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

Wie gestern bekannt wurde, ist eine schwerwiegende Remote-Code-Execution-Lücke im PHPMailer entdeckt worden

https://legalhackers.com/advisories/PHP … -Vuln.html

Demnach kann die Lücke über Kontaktformulare, Registrierungsformulare oder Passwort-Reset-Felder ausgenutzt werden.

Wenn man sich die im Code der Bugfixes vorgenommenen Änderungen anschaut, braucht es nicht viel Phantasie, um ungefähr zu verstehen, wie die Lücke funktioniert. So wird die Absenderadresse nicht validiert, sondern ungeprüft an Sendmail weitergegeben. Dabei könnte es zu einer Shell-Injection-Lücke kommen.

Oder einfacher formuliert - euer Server gehört damit de facto dem Angreifer.

Manche von euch werden sich da vielleicht fragen, was geht mich das an?! Sehr viel sogar!!!

Nutzt doch das im Core von CMSMS enthaltene Modul CMSMailer die bekannte PHPMailer-Bibliothek für den Versand von Nachrichten, oder grob gesagt, jedes Modul, welches die Installation des CMSMailer verlangen, ist davon betroffen.

Die betreffende Bibliothek sollte daher schnellstmöglich aktualisiert werden

https://github.com/PHPMailer/PHPMailer/ … ag/v5.2.19

Offline

#2 27. Dezember 2016 14:38

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

Das aktualisierte CMSMailer Modul für CMSMS-1 findet ihr hier

https://www.cmsmadesimple.de/forum/view … 780#p39780

Offline

#3 27. Dezember 2016 17:33

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

Kleine Ergänzung für CMSMS-2 - dort muss NICHT unter /module/CMSMailer/phpmailer, sondern unter /lib/phpmailer aktualisiert werden.

Offline

#4 28. Dezember 2016 22:14

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

Seitens der .org wird hier übrigens keine Notwendigkeit gesehen, ein Update zu liefern

https://forum.cmsmadesimple.org/viewtop … 0aeeacfcdd

Hatte die in den letzten Monaten mehrfach die Gelegenheit, bestehende CMSMS-Installationen zu übernehmen. Und da waren Module installiert, die nie das Licht des Forge gesehen haben, und zudem bestimmte Dinge anders angegangen sind, als es bei CMSMS "üblich" ist (einen Coding Standard gibt es in der Form ja für CMSMS nicht).

Angesichts der Brisanz der Sicherheitslücke, dass der komplette Host kompromittiert werden kann, hätte ich hier eine andere Entscheidung getroffen - einfach, um auf Nummer Sicher zu gehen und die CMSMS-Anwender vor Schaden zu bewahren.

Denn wer hat denn dann den Schaden / Arbeit / Haftung, falls etwas passiert ... die Devs von der .org bestimmt nicht.

Offline

#5 29. Dezember 2016 23:25

mike-r
arbeitet mit CMS/ms
Registriert: 21. Dezember 2010
Beiträge: 898
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

Mein Englisch ist nicht das beste, aber soweit ich das richtig verstehe (und soweit die Ausführungen tatsächlich richtig sind) erscheinen mir die Erklärungen vom grossen Zampano ausnahmsweise mal nicht so ganz blöd.

Ma blöd gefragt: gesetzt den Fall, das stimmt alles so, dann ist auch ein Patch nicht lebensnotwendig, oder doch?


Unablässige Tools für's Webdevelopement/ Fehlerfindung: CSS Validierungsservice, Bildschirmlineal, Firebug, Tidy, Deutsche CSS-Referenz

Offline

#6 29. Dezember 2016 00:21

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

War meinerseits nicht negativ gemeint ... nur bin ich der Meinung, dass ein Server nicht gut genug abgesichert sein kann.

Sicherlich hat man da ein paar Module gecheckt, ob das relevant ist, aber vermutlich nicht alle. Geht ja letztens Endes darum, dass es Probleme geben kann, wenn der Webseitenbesucher den Wert für "From:" setzen kann.

Wenn du nur das CMSMS-Standard-Setup nutzt (wie im verlinkten Beitrag beschrieben), scheint der Patch nicht erforderlich zu sein.

Leider gibt es in der Nachricht keine vollständige Liste, welche Third Party Module geprüft wurden. In der Aufzählung vermisse ich z.Bsp. GBook, JM_Forum (hab selber keine Tests dazu gemacht). Da lässt man den Endanwender schon bißl im Regen stehen ... und sobald Eigenentwicklungen am Start sind, wird es noch verrückter.

Bevor ich Unmengen Fremd-Code durchschaue/prüfe, bin ich doch schneller, wenn ich die neue PHPMailer-Lib hochlade, und bin (als Hersteller/Anbieter einer Software) auf der sicheren Seite. Gerade im Open Source Bereich ist es schwierig, alle Möglichkeiten und Varianten (die der Endanwender einsetzt) zu erkennen. Da sehe ich schon eine enorme Verantwortung.

Zudem wurde heute noch mal nachgearbeitet

https://github.com/PHPMailer/PHPMailer/ … angelog.md

Der erste Fix war wohl nicht vollständig

https://legalhackers.com/advisories/PHP … ypass.html

Im Zweifelsfall erspart mir der Fix 'ne ganze Menge Support-Aufwand big_smile.

Beitrag geändert von Andynium (29. Dezember 2016 08:15)

Offline

#7 29. Dezember 2016 08:10

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

cyberman schrieb:

Das aktualisierte CMSMailer Modul für CMSMS-1 findet ihr hier

https://www.cmsmadesimple.de/forum/view … 780#p39780

Hab es noch mal aktualisiert.

Offline

#8 29. Dezember 2016 11:14

mike-r
arbeitet mit CMS/ms
Registriert: 21. Dezember 2010
Beiträge: 898
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

cyberman schrieb:
cyberman schrieb:

Das aktualisierte CMSMailer Modul für CMSMS-1 findet ihr hier

https://www.cmsmadesimple.de/forum/view … 780#p39780

Hab es noch mal aktualisiert.

	function GetVersion() {
		return '5.2.19';

Soll das so?


Unablässige Tools für's Webdevelopement/ Fehlerfindung: CSS Validierungsservice, Bildschirmlineal, Firebug, Tidy, Deutsche CSS-Referenz

Offline

#9 07. Januar 2017 15:31

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

mike-r schrieb:

Soll das so?

Danke für den Hinweis, soll natürlich nicht so wink.

Ist aktualisiert.

Offline

#10 23. Juli 2017 10:48

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.018
Webseite

Re: Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

Weitere Sicherheitslücke im Core des PHP-Mailers geschlossen

https://www.cmsmadesimple.de/forum/view … 489#p40489

Offline