Abo
  • Services:
Anzeige
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen.
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen. (Bild: PHPMailer Logo)

Websicherheit: PHPMailer bringt eine böse Weihnachtsüberraschung

PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen.
PHPMailer ist eine gern genutzte Bibliothek zum Verschicken von E-Mails in Webanwendungen. (Bild: PHPMailer Logo)

In der PHP-Bibliothek PHPMailer wurde eine schwerwiegende Remote-Code-Execution-Lücke gefunden. Bislang gibt es nur spärliche Details. PHPMailer wird von vielen Webapplikationen wie Joomla genutzt.

Mitten während der Weihnachtsfeiertage könnten einige Webseitenbetreiber eine böse Überraschung erleben. In der Bibliothek PHPMailer wurde eine Remote-Code-Execution-Lücke entdeckt.

Anzeige

Unzählige Webanwendungen nutzen PHPMailer

Der Name dürfte vielen nichts sagen, allerdings ist PHPMailer häufig im Einsatz. Die Bibliothek wird in vielen populären Webanwendungen genutzt, um E-Mails zu verschicken. Sie ist beispielsweise Teil des Content-Management-Systems Joomla und des Bugtrackers Mantis. Auch Wordpress enthält den verwundbaren Code, die entsprechenden Dateien wurden jedoch umbenannt. Wer nach PHPMailer sucht, übersieht daher möglicherweise die Kopie in Wordpress.

Auch Nutzer anderer populärer Content-Management-Systeme wie Drupal können betroffen sein. PHPMailer ist hier zwar nicht direkt enthalten, das Programm wird aber in zahlreichen Plugins und Themes mitgeliefert.

Dawid Golunski, Entdecker der Lücke und Teil der Gruppe Legal Hackers, hat bislang nur wenige Details bekanntgegeben. Demnach könnte die Lücke über Kontaktformulare, Registrierungsformulare oder Passwort-Reset-Felder ausgenutzt werden. Ein Proof of Concept für eine populäre Webapplikation, die auf mehr als einer Million Webservern installiert ist, will Golunski in Kürze veröffentlichen.

Schaut man sich die Codeänderung an, braucht es nicht viel Phantasie, um zumindest ungefähr zu verstehen, wie die Lücke funktioniert. Demnach wird wohl die Absenderadresse nicht validiert und ungeprüft an Sendmail weitergegeben. Dabei könnte es dann zu einer Shell-Injection-Lücke kommen.

Ungeplante Veröffentlichung

Dass Informationen über die Lücke während der Weihnachtsfeiertage veröffentlicht wurden, war offenbar nicht geplant. In einer E-Mail an die Mailingliste oss-security entschuldigte sich Golunski dafür und schreibt, dass einer der Hersteller, die vorab informiert wurden, versehentlich umfangreiche Informationen über diese Lücke preisgegeben hatte.

Die Sicherheitslücke hat die Kennziffer CVE-2016-10033 erhalten. Behoben ist sie in PHPMailer Version 5.2.18. Kurz nach der Veröffentlichung wurde gleich eine weitere Version 5.2.19 veröffentlicht, die aber offenbar nur kleinere Bugs behebt. Alle Webseitenbetreiber, die PHPMailer einsetzen, sollten schnellstmöglich dieses Update installieren. Nutzer von Webapplikationen, die PHPMailer mitliefern, können die Bibliothek manuell aktualisieren oder auf ein Update der jeweiligen Anwendung warten. Bislang gibt es für Joomla, Wordpress und Mantis keine Updates, die dürften aber in Kürze erscheinen.

Nachtrag vom 26. Dezember 2016, 15:26 Uhr

Wir hatten ursprünglich geschrieben, dass Wordpress nicht direkt betroffen ist. Das war nicht korrekt, wir haben den Text korrigiert.

Nachtrag vom 27. Dezember 2016, 11:04 Uhr

Inzwischen existiert ein Proof-of-Concept-Exploit, der jedoch nur mit PHP-Versionen älter als 5.2.0 ausnutzbar ist. Außerdem muss PHP ohne PCRE-Unterstützung kompiliert sein. Es ist aber vermutlich möglich, die Sicherheitslücke auch unter anderen Bedingungen auszunutzen, dafür muss jedoch mehr Aufwand betrieben werden.

Die Entwickler von Joomla haben ein Advisory herausgegeben, in dem sie erklären, dass die Lücke in der Core-Funktionalität von Joomla nicht ausnutzbar ist, da die Eingabedaten durch andere Funktionen validiert werden. Daher sei kein unmittelbares Update notwendig. Drupal hat ebenfalls ein Advisory herausgegeben, allerdings nutzt Drupal PHPMailer sowieso nicht, lediglich Plugins sind betroffen. Wordpress hat sich bisher nicht dazu geäußert.


eye home zur Startseite
der_wahre_hannes 28. Dez 2016

Naja, doch. Ein string sql = "SELECT * FROM tblExample WHERE ExampleColumn...

Moe479 28. Dez 2016

computer sind automaten und und lochkarten eine form des datenträgers, z.b. auch um eine...

Tigtor 27. Dez 2016

Imho hat da auch ein Empfänger nichts verloren. Per dropdown und Parameter wird ein...

stiGGG 27. Dez 2016

Eigentlich ist es heutzutage eher absolut üblich 3rd Party Code klar vom eigenen Code zu...

ahofmann 27. Dez 2016

Danke für diese absolut wichtige Information! Anhand vom Artikel habe ich gedacht das ich...



Anzeige

Stellenmarkt
  1. K+S Aktiengesellschaft, Kassel
  2. Mediaform Unternehmensgruppe über ACADEMIC WORK, Hamburg, Reinbek
  3. Wanzl Metallwarenfabrik GmbH, Leipheim
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Spiele-Angebote
  1. ab 129,99€ (Vorbesteller-Preisgarantie)
  2. (-15%) 33,99€
  3. 42,99€

Folgen Sie uns
       


  1. Quartalsbericht

    Amazon macht erneut riesigen Gewinn

  2. Datenschutzverordnung im Bundestag

    "Für uns ist jeden Tag der Tag der inneren Sicherheit"

  3. Aspire-Serie

    Acer stellt Notebooks für jeden Geldbeutel vor

  4. Acer Predator Triton 700

    Das Fenster oberhalb der Tastatur ist ein Clickpad

  5. Kollaborationsserver

    Owncloud 10 verbessert Gruppen- und Gästenutzung

  6. Panoramafreiheit

    Aidas Kussmund darf im Internet veröffentlicht werden

  7. id Software

    Nächste id Tech setzt massiv auf FP16-Berechnungen

  8. Broadcom-Sicherheitslücken

    Samsung schützt Nutzer nicht vor WLAN-Angriffen

  9. Star Citizen

    Transparenz im All

  10. Hikey 960

    Huawei bringt Entwicklerboard mit Mate-9-Chip



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielebranche: "Ungefähr jetzt ist der Prinzessin-Leia-Moment"
Spielebranche
"Ungefähr jetzt ist der Prinzessin-Leia-Moment"
  1. id Software "Global Illumination ist derzeit die größte Herausforderung"
  2. Spielentwickler Männlich, 34 Jahre alt und unterbezahlt
  3. Let's Player Auf Youtube verkauft auch die Trashnight Spiele

DLR-Projekt Eden ISS: Das Paradies ist ein Container
DLR-Projekt Eden ISS
Das Paradies ist ein Container
  1. Weltraumschrott "Der neue Aspekt sind die Megakonstellationen"
  2. Transport Der Güterzug der Zukunft ist ein schneller Roboter
  3. "Die Astronautin" Ich habe heute leider keinen Flug ins All für dich

Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarte Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen
  2. Radeon Pro Duo AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips
  3. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs

  1. Re: Also wird der Uploaded.net Premium weiter...

    bla | 22:49

  2. Re: Was mach ich denn....

    violator | 22:44

  3. Re: War überfällig

    violator | 22:38

  4. Re: USB 2.0?

    ChristianKG | 22:33

  5. NextCloud

    Ninos | 22:30


  1. 22:37

  2. 20:24

  3. 18:00

  4. 18:00

  5. 17:42

  6. 17:23

  7. 16:33

  8. 16:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel