Donnerstag, 29 Dezember 2016

Sicherheitslücke in PHPMailer Bibliothek

geschrieben von

Am 25.12.2016 informierte legalhackers.com über eine Sicherheitslücke in der Webmail-Bibliothek PHPMailer. Über diese Lücke soll es möglich sein, fremden Code auszuführen.

Edit 26.04.2017: Mit der Veröffentlichung von Joomla! 3.7 wurde auch diese Sicherheitslücke behoben.

 Die Bibiliothek PHPMailer ist eine Klasse, mit der sich E-Mails komfortabel aus PHP heraus versenden lassen. Im Gegensatz zum spartanischen mail() bietet PHPMailer einen großen Funktionsumfang:

  • Versenden von HTML-E-Mails
  • Unterstützung von SMTP (Simple Mail Transfer Protokoll)
  • Benutzerdefinierte Mailheader
  • Automatischer Zeilenumbruch
  • Authentifizierung per SMTP
  • Einbetten von Bildern
  • etc.

In den Versionen vor 5.1.18 besteht eine Lücke, durch welche externer Code ausgeführt werden kann. Hauptursächlich soll die fehlende Gültigkeitsprüfung der Absenderadresse sein.

PHPMailer wird bei zahlreichen Projekten verwendet, so auch bei Joomla! (Versionen 1.6.0 - 3.6.5), Wordpress etc.

Das Entwicklerteam von Joomla! hat für einfache Joomla!-Installationen Entwarnung gegeben. Zwar wird in der aktuellen Joomla!-Version 3.6.5 die PHPMailer-Version 5.1.16 eingesetzt, welche die Sicherheitslücke enthält, jedoch würden laut den Joomla!-Entwicklern andere Mechnaismen greifen, damit die Lücke nicht ausgenutzt werden kann. Seitens dem Entwicklerteam wird darauf hingewiesen, dass Erweiterungen von Joomla! eigene PHPMailer-Versionen mitbringen können bzw. die Joomla-API nicht korrekt nutzen. Joomla! wirde die Sicherheitslücke erst mit der Version 3.7 beheben.

Die Erweiterung BreezingForms (Formular Generator der Extraklasse :)) verwendet nach eigenen Angaben die API von Joomla! für das Versenden von E-Mails.

Joomla! bietet in der Konfiguration (Server / Mailer) weitere Möglichkeiten an, E-Mails zu versenden. So kann bis zu einem Update von Joomla! auf Sendmail oder SMTP ausgewichen werden.

Quelle: golem.de, legalhackers.com

Gelesen 3206 mal Letzte Änderung am Sonntag, 17 Januar 2021
ANDweb

Webdesign Agentur in Wiesbaden
Inh. Ulrich Anders
Kontakt

nach
oben