Abo
  • Services:

Websicherheit: PHPMailer bringt eine böse Weihnachtsüberraschung

In der PHP-Bibliothek PHPMailer wurde eine schwerwiegende Remote-Code-Execution-Lücke gefunden. Bislang gibt es nur spärliche Details. PHPMailer wird von vielen Webapplikationen wie Joomla genutzt.

Artikel veröffentlicht am , Hanno Böck
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen.
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen. (Bild: PHPMailer Logo)

Mitten während der Weihnachtsfeiertage könnten einige Webseitenbetreiber eine böse Überraschung erleben. In der Bibliothek PHPMailer wurde eine Remote-Code-Execution-Lücke entdeckt.

Unzählige Webanwendungen nutzen PHPMailer

Stellenmarkt
  1. TKR Spezialwerkzeuge GmbH, Gevelsberg
  2. dSPACE GmbH, Paderborn

Der Name dürfte vielen nichts sagen, allerdings ist PHPMailer häufig im Einsatz. Die Bibliothek wird in vielen populären Webanwendungen genutzt, um E-Mails zu verschicken. Sie ist beispielsweise Teil des Content-Management-Systems Joomla und des Bugtrackers Mantis. Auch Wordpress enthält den verwundbaren Code, die entsprechenden Dateien wurden jedoch umbenannt. Wer nach PHPMailer sucht, übersieht daher möglicherweise die Kopie in Wordpress.

Auch Nutzer anderer populärer Content-Management-Systeme wie Drupal können betroffen sein. PHPMailer ist hier zwar nicht direkt enthalten, das Programm wird aber in zahlreichen Plugins und Themes mitgeliefert.

Dawid Golunski, Entdecker der Lücke und Teil der Gruppe Legal Hackers, hat bislang nur wenige Details bekanntgegeben. Demnach könnte die Lücke über Kontaktformulare, Registrierungsformulare oder Passwort-Reset-Felder ausgenutzt werden. Ein Proof of Concept für eine populäre Webapplikation, die auf mehr als einer Million Webservern installiert ist, will Golunski in Kürze veröffentlichen.

Schaut man sich die Codeänderung an, braucht es nicht viel Phantasie, um zumindest ungefähr zu verstehen, wie die Lücke funktioniert. Demnach wird wohl die Absenderadresse nicht validiert und ungeprüft an Sendmail weitergegeben. Dabei könnte es dann zu einer Shell-Injection-Lücke kommen.

Ungeplante Veröffentlichung

Dass Informationen über die Lücke während der Weihnachtsfeiertage veröffentlicht wurden, war offenbar nicht geplant. In einer E-Mail an die Mailingliste oss-security entschuldigte sich Golunski dafür und schreibt, dass einer der Hersteller, die vorab informiert wurden, versehentlich umfangreiche Informationen über diese Lücke preisgegeben hatte.

Die Sicherheitslücke hat die Kennziffer CVE-2016-10033 erhalten. Behoben ist sie in PHPMailer Version 5.2.18. Kurz nach der Veröffentlichung wurde gleich eine weitere Version 5.2.19 veröffentlicht, die aber offenbar nur kleinere Bugs behebt. Alle Webseitenbetreiber, die PHPMailer einsetzen, sollten schnellstmöglich dieses Update installieren. Nutzer von Webapplikationen, die PHPMailer mitliefern, können die Bibliothek manuell aktualisieren oder auf ein Update der jeweiligen Anwendung warten. Bislang gibt es für Joomla, Wordpress und Mantis keine Updates, die dürften aber in Kürze erscheinen.

Nachtrag vom 26. Dezember 2016, 15:26 Uhr

Wir hatten ursprünglich geschrieben, dass Wordpress nicht direkt betroffen ist. Das war nicht korrekt, wir haben den Text korrigiert.

Nachtrag vom 27. Dezember 2016, 11:04 Uhr

Inzwischen existiert ein Proof-of-Concept-Exploit, der jedoch nur mit PHP-Versionen älter als 5.2.0 ausnutzbar ist. Außerdem muss PHP ohne PCRE-Unterstützung kompiliert sein. Es ist aber vermutlich möglich, die Sicherheitslücke auch unter anderen Bedingungen auszunutzen, dafür muss jedoch mehr Aufwand betrieben werden.

Die Entwickler von Joomla haben ein Advisory herausgegeben, in dem sie erklären, dass die Lücke in der Core-Funktionalität von Joomla nicht ausnutzbar ist, da die Eingabedaten durch andere Funktionen validiert werden. Daher sei kein unmittelbares Update notwendig. Drupal hat ebenfalls ein Advisory herausgegeben, allerdings nutzt Drupal PHPMailer sowieso nicht, lediglich Plugins sind betroffen. Wordpress hat sich bisher nicht dazu geäußert.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  3. 4,99€

der_wahre_hannes 28. Dez 2016

Naja, doch. Ein string sql = "SELECT * FROM tblExample WHERE ExampleColumn...

Moe479 28. Dez 2016

computer sind automaten und und lochkarten eine form des datenträgers, z.b. auch um eine...

Tigtor 27. Dez 2016

Imho hat da auch ein Empfänger nichts verloren. Per dropdown und Parameter wird ein...

stiGGG 27. Dez 2016

Eigentlich ist es heutzutage eher absolut üblich 3rd Party Code klar vom eigenen Code zu...

ahofmann 27. Dez 2016

Danke für diese absolut wichtige Information! Anhand vom Artikel habe ich gedacht das ich...


Folgen Sie uns
       


Super Nt - Fazit

Wir ziehen unser Test-Fazit zum Super Nt von Analogue.

Super Nt - Fazit Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /