News vom 27.12.2016
Remote Code Excecution in third-party PHPMailer library
Allgemeine Sicherheits-Hinweise
Betroffen: Joomla!, WordPress, Drupal und viele andere CMS
Alle Version der "PHPMailer"-Bibliothek, die in den Joomla-Versionen 1.6.0 bis 3.6.5 integriert sind, haben eine sehr gefährliche Sicherheitslücke, über die aus der Ferne (remote) Shell-Code in den Aufruf injiziert werden kann. Ein Angreifer kann also ohne einen besonderen Zugang zu einem Web eigenen Code ausführen und damit eine Seite übernehmen bzw. hacken.
Gehackte Websites und die Folgen
Joomla selbst überprüft die Übergabeparameter an die PHPMailer-Bibliothek bei allen im CORE integrierten Mailfunktionen, so das darüber die Lücke nicht ausgenutzt werden kann. Drittanbieter-Erweiterungen die nicht die Joomla-API nutzen oder einen eigenen PHPmailer mitbringen, sind jedoch betroffen, wenn nicht mindestens die gepatchte PHPMailer-Version 5.2.21 benutzt wird. Ab Joomla 3.7 wird diese Version auch im CORE integriert sein.
Es ist anzuraten alle Drittanbieter-Komponenten umgehend auf die Anfälligkeit dieser Sicherheitslücke zu überprüfen, indem die entsprechenden Hersteller kontaktiert werden. Ein Update oder auch die Löschung anfälliger Komponenten ist dringend anzuraten. Die oft genutzte Komponente "AcyMailing" ist beispielsweise betroffen. Diese bringt eine eigene PHPMailer-Library mit. Ein Update ist bereits verfügbar.
Auch andere Scripte nutzen diese Bibliothek: WordPress, Drupal, 1CRM, SugarCRM und viele mehr.
Quellen:
Diskussion/Infos auch hier im Forum: joomlaportal.de
Falls technische Fragen offen sind, melden Sie sich bitte mit Angabe Ihrer Kunden-Nr und der Domain unter support@fc-hosting.de oder benutzen Sie unser Kontaktformular.
Update & Workaround
Wir haben die Situation noch mal geprüft. Offenbar funktioniert die Sicherheitslücke nur, wenn als Mailer "Sendmail" benutzt wird. Dieser Mailer ist als Direktaufruf auf unseren Servern aber grundsätzlich gesperrt. Wer dennoch auf Nummer sicher gehen will, kann die PHPMailer-Library einfach im Joomla ersetzen gegen die aktuelle Version (momentan 5.2.22)
Hier ist die originale Bibliothek zu finden: Releases
Im Joomla-Core den Inhalt des zip-Archiv hier hochladen: /libraries/vendor/phpmailer/phpmailer
Wenn Erweiterungen eine eigene PHPMailer-Bibliothek mitbringen, dann die Dateien an entprechender Stelle ersetzen. Gleiches gilt für andere Scripte wie WordPress, Drupal usw.