Lücke in PHPMailer erlaubt die Ausführung fremden Codes

[ad_1]

Sicherheitsforscher haben eine Lücke in der weit verbreiteten Webmail-Bibliothek PHPMailer veröffentlicht: Eine fehlerhafte Eingabeüberprüfung lässt sich zum Ausführen externen Codes missbrauchen.

David Golinski von der Gruppe Legal Hackers hat Informationen zu einer kritischen Lücke in PHPMailer veröffentlicht (CVE-2016-10033). Ein Fehler in der weit verbreiteten PHP-Bibliothek führt dazu, dass die über ein Webformular eingetragenen Absenderdaten ungeprüft an Sendmail weitergereicht werden. Mit entsprechenden Eingaben lässt sich in Versionen vor 5.2.18 darüber Shellcode in den Aufruf injizieren, der mit den Rechten des Webserver-Users ausgeführt wird.

Vor allem PHP-Content-Management-Systeme nutzen die Bibliothek unter anderem für Anmelde-, Feedback-, Kontakt- oder Passwortrücksetzungsformulare. Golinski führt exemplarisch 1CRM, Drupal, Joomla!, SugarCRM sowie WordPress auf. Zwar haben die PHPMailer-Entwickler den Fehler inzwischen behoben, allerdings dürfte es noch etwas dauern, bis alle darauf aufbauenden Projekte die Änderungen übernommen haben. Nutzern empfiehlt der Sicherheitsexperte, ihre Systeme umgehend auf die gepatchten Versionen zu aktualisieren.

Für den Zeitpunkt der Veröffentlichung, die als reichlich unpassende Weihnachtsüberraschung empfunden werden konnte, entschuldigte sich Golunski. Einer der betroffenen Hersteller habe vorzeitig zentrale Informationen zu der Lücke veröffentlicht, die potenziellen Angreifern helfen könnten. Er kündigte heute per Twitter an, ein vollständiges Advisory sowie ein Video mit seinem Proof for Concept online zu stellen. Inzwischen gibt es für die Lücke auch einen Namen nebst dazugehöriger Webseite: PwnScriptum.

[Update:] Das ursprünglich mit aufgeführte Yii-Framework ist nach Aussage der Entwickler nicht betroffen, da weder Yii 1.1 noch Yii 2.x PHPMailer benutzen. (avr)

[ad_2]

Read more on: Source