News vom 27.12.2016

Remote Code Excecution in third-party PHPMailer library

Allgemeine Sicherheits-Hinweise

Betroffen: Joomla!, WordPress, Drupal und viele andere CMS

Alle Version der "PHPMailer"-Bibliothek, die in den Joomla-Versionen 1.6.0 bis 3.6.5 integriert sind, haben eine sehr gefährliche Sicherheitslücke, über die aus der Ferne (remote) Shell-Code in den Aufruf injiziert werden kann. Ein Angreifer kann also ohne einen besonderen Zugang zu einem Web eigenen Code ausführen und damit eine Seite übernehmen bzw. hacken. 
Gehackte Websites und die Folgen

Joomla selbst überprüft die Übergabeparameter an die PHPMailer-Bibliothek bei allen im CORE integrierten Mailfunktionen, so das darüber die Lücke nicht ausgenutzt werden kann. Drittanbieter-Erweiterungen die nicht die Joomla-API nutzen oder einen eigenen PHPmailer mitbringen, sind jedoch betroffen, wenn nicht mindestens die gepatchte PHPMailer-Version 5.2.21 benutzt wird. Ab Joomla 3.7 wird diese Version auch im CORE integriert sein.

Es ist anzuraten alle Drittanbieter-Komponenten umgehend auf die Anfälligkeit dieser Sicherheitslücke zu überprüfen, indem die entsprechenden Hersteller kontaktiert werden. Ein Update oder auch die Löschung anfälliger Komponenten ist dringend anzuraten. Die oft genutzte Komponente "AcyMailing" ist beispielsweise betroffen. Diese bringt eine eigene PHPMailer-Library mit. Ein Update ist bereits verfügbar.

Auch andere Scripte nutzen diese Bibliothek: WordPress, Drupal, 1CRM, SugarCRM und viele mehr.

Quellen:

Diskussion/Infos auch hier im Forum: joomlaportal.de

Falls technische Fragen offen sind, melden Sie sich bitte mit Angabe Ihrer Kunden-Nr und der Domain unter support@fc-hosting.de oder benutzen Sie unser Kontaktformular.

Update & Workaround

Wir haben die Situation noch mal geprüft. Offenbar funktioniert die Sicherheitslücke nur, wenn als Mailer "Sendmail" benutzt wird. Dieser Mailer ist als Direktaufruf auf unseren Servern aber grundsätzlich gesperrt. Wer dennoch auf Nummer sicher gehen will, kann die PHPMailer-Library einfach im Joomla ersetzen gegen die aktuelle Version (momentan 5.2.22)

Die Version 5.2.22 ist hier bei uns als Download verfügbar: Download
Hier ist die originale Bibliothek zu finden: Releases

Im Joomla-Core den Inhalt des zip-Archiv hier hochladen: /libraries/vendor/phpmailer/phpmailer

Wenn Erweiterungen eine eigene PHPMailer-Bibliothek mitbringen, dann die Dateien an entprechender Stelle ersetzen. Gleiches gilt für andere Scripte wie WordPress, Drupal usw.

© 2019 fc-hosting.de | +49-(0)5032-933-068-0 | info@fc-hosting.de

Quick-Links

Formulare

Tipps und Hilfen