Abo
  • Services:
Anzeige
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen.
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen. (Bild: PHPMailer Logo)

Websicherheit: PHPMailer bringt eine böse Weihnachtsüberraschung

PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen.
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen. (Bild: PHPMailer Logo)

In der PHP-Bibliothek PHPMailer wurde eine schwerwiegende Remote-Code-Execution-Lücke gefunden. Bislang gibt es nur spärliche Details. PHPMailer wird von vielen Webapplikationen wie Joomla genutzt.

Mitten während der Weihnachtsfeiertage könnten einige Webseitenbetreiber eine böse Überraschung erleben. In der Bibliothek PHPMailer wurde eine Remote-Code-Execution-Lücke entdeckt.

Anzeige

Unzählige Webanwendungen nutzen PHPMailer

Der Name dürfte vielen nichts sagen, allerdings ist PHPMailer häufig im Einsatz. Die Bibliothek wird in vielen populären Webanwendungen genutzt, um E-Mails zu verschicken. Sie ist beispielsweise Teil des Content-Management-Systems Joomla und des Bugtrackers Mantis. Auch Wordpress enthält den verwundbaren Code, die entsprechenden Dateien wurden jedoch umbenannt. Wer nach PHPMailer sucht, übersieht daher möglicherweise die Kopie in Wordpress.

Auch Nutzer anderer populärer Content-Management-Systeme wie Drupal können betroffen sein. PHPMailer ist hier zwar nicht direkt enthalten, das Programm wird aber in zahlreichen Plugins und Themes mitgeliefert.

Dawid Golunski, Entdecker der Lücke und Teil der Gruppe Legal Hackers, hat bislang nur wenige Details bekanntgegeben. Demnach könnte die Lücke über Kontaktformulare, Registrierungsformulare oder Passwort-Reset-Felder ausgenutzt werden. Ein Proof of Concept für eine populäre Webapplikation, die auf mehr als einer Million Webservern installiert ist, will Golunski in Kürze veröffentlichen.

Schaut man sich die Codeänderung an, braucht es nicht viel Phantasie, um zumindest ungefähr zu verstehen, wie die Lücke funktioniert. Demnach wird wohl die Absenderadresse nicht validiert und ungeprüft an Sendmail weitergegeben. Dabei könnte es dann zu einer Shell-Injection-Lücke kommen.

Ungeplante Veröffentlichung

Dass Informationen über die Lücke während der Weihnachtsfeiertage veröffentlicht wurden, war offenbar nicht geplant. In einer E-Mail an die Mailingliste oss-security entschuldigte sich Golunski dafür und schreibt, dass einer der Hersteller, die vorab informiert wurden, versehentlich umfangreiche Informationen über diese Lücke preisgegeben hatte.

Die Sicherheitslücke hat die Kennziffer CVE-2016-10033 erhalten. Behoben ist sie in PHPMailer Version 5.2.18. Kurz nach der Veröffentlichung wurde gleich eine weitere Version 5.2.19 veröffentlicht, die aber offenbar nur kleinere Bugs behebt. Alle Webseitenbetreiber, die PHPMailer einsetzen, sollten schnellstmöglich dieses Update installieren. Nutzer von Webapplikationen, die PHPMailer mitliefern, können die Bibliothek manuell aktualisieren oder auf ein Update der jeweiligen Anwendung warten. Bislang gibt es für Joomla, Wordpress und Mantis keine Updates, die dürften aber in Kürze erscheinen.

Nachtrag vom 26. Dezember 2016, 15:26 Uhr

Wir hatten ursprünglich geschrieben, dass Wordpress nicht direkt betroffen ist. Das war nicht korrekt, wir haben den Text korrigiert.

Nachtrag vom 27. Dezember 2016, 11:04 Uhr

Inzwischen existiert ein Proof-of-Concept-Exploit, der jedoch nur mit PHP-Versionen älter als 5.2.0 ausnutzbar ist. Außerdem muss PHP ohne PCRE-Unterstützung kompiliert sein. Es ist aber vermutlich möglich, die Sicherheitslücke auch unter anderen Bedingungen auszunutzen, dafür muss jedoch mehr Aufwand betrieben werden.

Die Entwickler von Joomla haben ein Advisory herausgegeben, in dem sie erklären, dass die Lücke in der Core-Funktionalität von Joomla nicht ausnutzbar ist, da die Eingabedaten durch andere Funktionen validiert werden. Daher sei kein unmittelbares Update notwendig. Drupal hat ebenfalls ein Advisory herausgegeben, allerdings nutzt Drupal PHPMailer sowieso nicht, lediglich Plugins sind betroffen. Wordpress hat sich bisher nicht dazu geäußert.


eye home zur Startseite
der_wahre_hannes 28. Dez 2016

Naja, doch. Ein string sql = "SELECT * FROM tblExample WHERE ExampleColumn...

Moe479 28. Dez 2016

computer sind automaten und und lochkarten eine form des datenträgers, z.b. auch um eine...

Tigtor 27. Dez 2016

Imho hat da auch ein Empfänger nichts verloren. Per dropdown und Parameter wird ein...

stiGGG 27. Dez 2016

Eigentlich ist es heutzutage eher absolut üblich 3rd Party Code klar vom eigenen Code zu...

ahofmann 27. Dez 2016

Danke für diese absolut wichtige Information! Anhand vom Artikel habe ich gedacht das ich...



Anzeige

Stellenmarkt
  1. Werner Sobek Group GmbH, Stuttgart
  2. Bertrandt Services GmbH, Köln
  3. Völkel Mikroelektronik GmbH, Münster (Nordrhein-Westfalen)
  4. Bertrandt Services GmbH, Koblenz


Anzeige
Hardware-Angebote
  1. 281,99€
  2. 17,99€ statt 29,99€
  3. 289,00€ + 3,99€ Versand (Bestpreis!)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Blizzard

    Starcraft Remastered erscheint im Sommer 2017

  2. Atom-Unfall

    WD erweitert Support für NAS mit Intels fehlerhaftem Atom

  3. SecurityWatchScam ID

    T-Mobile blockiert Spam-Anrufe

  4. AT&T

    USA bauen Millionen Glasfaserverbindungen

  5. Super Mario Run

    Nintendo bleibt trotz Enttäuschung beim Bezahlmodell

  6. Samsung

    Galaxy Note 7 wird per Update endgültig lahmgelegt

  7. The Ringed City

    From Software zeigt Abschluss von Dark Souls 3 im Trailer

  8. Dieter Lauinger

    Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

  9. Die Woche im Video

    Cebit wird heiß, Android wird neu, Aliens werden gesprächig

  10. Mobilfunkausrüster

    Welche Frequenzen für 5G in Deutschland diskutiert werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Hannover Pavillons für die Sommer-Cebit sind schon ausgebucht
  2. Ab 2018 Cebit findet künftig im Sommer statt
  3. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: Überschrift: Atom-Unfall?

    Surry | 18:47

  2. Re: Bin mal gespannt

    Surry | 18:46

  3. Re: Auswandern

    Berner Rösti | 18:45

  4. Re: Überschrift doppelt verwirrend

    robinx999 | 18:43

  5. Re: Es werden keine Rundfunkfrequenzen belegt...

    Berner Rösti | 18:37


  1. 19:03

  2. 14:32

  3. 14:16

  4. 13:00

  5. 15:20

  6. 14:13

  7. 12:52

  8. 12:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel