Abo
  • Services:
Anzeige
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen.
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen. (Bild: PHPMailer Logo)

Websicherheit: PHPMailer bringt eine böse Weihnachtsüberraschung

PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen.
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen. (Bild: PHPMailer Logo)

In der PHP-Bibliothek PHPMailer wurde eine schwerwiegende Remote-Code-Execution-Lücke gefunden. Bislang gibt es nur spärliche Details. PHPMailer wird von vielen Webapplikationen wie Joomla genutzt.

Mitten während der Weihnachtsfeiertage könnten einige Webseitenbetreiber eine böse Überraschung erleben. In der Bibliothek PHPMailer wurde eine Remote-Code-Execution-Lücke entdeckt.

Anzeige

Unzählige Webanwendungen nutzen PHPMailer

Der Name dürfte vielen nichts sagen, allerdings ist PHPMailer häufig im Einsatz. Die Bibliothek wird in vielen populären Webanwendungen genutzt, um E-Mails zu verschicken. Sie ist beispielsweise Teil des Content-Management-Systems Joomla und des Bugtrackers Mantis. Auch Wordpress enthält den verwundbaren Code, die entsprechenden Dateien wurden jedoch umbenannt. Wer nach PHPMailer sucht, übersieht daher möglicherweise die Kopie in Wordpress.

Auch Nutzer anderer populärer Content-Management-Systeme wie Drupal können betroffen sein. PHPMailer ist hier zwar nicht direkt enthalten, das Programm wird aber in zahlreichen Plugins und Themes mitgeliefert.

Dawid Golunski, Entdecker der Lücke und Teil der Gruppe Legal Hackers, hat bislang nur wenige Details bekanntgegeben. Demnach könnte die Lücke über Kontaktformulare, Registrierungsformulare oder Passwort-Reset-Felder ausgenutzt werden. Ein Proof of Concept für eine populäre Webapplikation, die auf mehr als einer Million Webservern installiert ist, will Golunski in Kürze veröffentlichen.

Schaut man sich die Codeänderung an, braucht es nicht viel Phantasie, um zumindest ungefähr zu verstehen, wie die Lücke funktioniert. Demnach wird wohl die Absenderadresse nicht validiert und ungeprüft an Sendmail weitergegeben. Dabei könnte es dann zu einer Shell-Injection-Lücke kommen.

Ungeplante Veröffentlichung

Dass Informationen über die Lücke während der Weihnachtsfeiertage veröffentlicht wurden, war offenbar nicht geplant. In einer E-Mail an die Mailingliste oss-security entschuldigte sich Golunski dafür und schreibt, dass einer der Hersteller, die vorab informiert wurden, versehentlich umfangreiche Informationen über diese Lücke preisgegeben hatte.

Die Sicherheitslücke hat die Kennziffer CVE-2016-10033 erhalten. Behoben ist sie in PHPMailer Version 5.2.18. Kurz nach der Veröffentlichung wurde gleich eine weitere Version 5.2.19 veröffentlicht, die aber offenbar nur kleinere Bugs behebt. Alle Webseitenbetreiber, die PHPMailer einsetzen, sollten schnellstmöglich dieses Update installieren. Nutzer von Webapplikationen, die PHPMailer mitliefern, können die Bibliothek manuell aktualisieren oder auf ein Update der jeweiligen Anwendung warten. Bislang gibt es für Joomla, Wordpress und Mantis keine Updates, die dürften aber in Kürze erscheinen.

Nachtrag vom 26. Dezember 2016, 15:26 Uhr

Wir hatten ursprünglich geschrieben, dass Wordpress nicht direkt betroffen ist. Das war nicht korrekt, wir haben den Text korrigiert.

Nachtrag vom 27. Dezember 2016, 11:04 Uhr

Inzwischen existiert ein Proof-of-Concept-Exploit, der jedoch nur mit PHP-Versionen älter als 5.2.0 ausnutzbar ist. Außerdem muss PHP ohne PCRE-Unterstützung kompiliert sein. Es ist aber vermutlich möglich, die Sicherheitslücke auch unter anderen Bedingungen auszunutzen, dafür muss jedoch mehr Aufwand betrieben werden.

Die Entwickler von Joomla haben ein Advisory herausgegeben, in dem sie erklären, dass die Lücke in der Core-Funktionalität von Joomla nicht ausnutzbar ist, da die Eingabedaten durch andere Funktionen validiert werden. Daher sei kein unmittelbares Update notwendig. Drupal hat ebenfalls ein Advisory herausgegeben, allerdings nutzt Drupal PHPMailer sowieso nicht, lediglich Plugins sind betroffen. Wordpress hat sich bisher nicht dazu geäußert.


eye home zur Startseite
der_wahre_hannes 28. Dez 2016

Naja, doch. Ein string sql = "SELECT * FROM tblExample WHERE ExampleColumn...

Moe479 28. Dez 2016

computer sind automaten und und lochkarten eine form des datenträgers, z.b. auch um eine...

Tigtor 27. Dez 2016

Imho hat da auch ein Empfänger nichts verloren. Per dropdown und Parameter wird ein...

stiGGG 27. Dez 2016

Eigentlich ist es heutzutage eher absolut üblich 3rd Party Code klar vom eigenen Code zu...

ahofmann 27. Dez 2016

Danke für diese absolut wichtige Information! Anhand vom Artikel habe ich gedacht das ich...



Anzeige

Stellenmarkt
  1. Ratbacher GmbH, Raum Nürnberg
  2. trinamiX GmbH, Ludwigshafen
  3. Robert Bosch GmbH, Leonberg
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Umfrage

    88 Prozent wollen bezahlbaren Breitbandanschluss

  2. Optimierungsprogramm

    Ccleaner-Malware sollte wohl Techkonzerne ausspionieren

  3. VPN

    Telekom startet ihr Weltnetz für Unternehmen

  4. Smartphone

    Apple könnte iPhone X verspätet ausliefern

  5. C't-Editorial kopiert

    Bundeswahlleiter stellt Strafanzeige gegen Brieffälscher

  6. Bundestagswahl 2017

    Viagra, Datenbankpasswörter und uralte Sicherheitslücken

  7. Auto

    Tesla will eigene Hardware für seine autonom fahrenden Autos

  8. Pipewire

    Fedora bekommt neues Multimedia-Framework

  9. Security

    Nest stellt komplette Alarmanlage vor

  10. Creators Update

    "Das zuverlässigste und sicherste Windows seit jeher"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Keiner will FTTH

    Dwalinn | 14:40

  2. Re: Vodafone: Keine Probleme? Warum bekomme ich...

    esei | 14:39

  3. Re: Als Android-Nutzer beneide ich euch

    DeathMD | 14:37

  4. Re: History repeats itself

    Seitan-Sushi-Fan | 14:36

  5. Re: natürlich ist das sinnvoll

    nate | 14:35


  1. 13:58

  2. 13:15

  3. 13:00

  4. 12:45

  5. 12:33

  6. 12:05

  7. 12:02

  8. 11:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel