9 millioner hjemmesider påvirket af PHPMailer sårbarhed

Illustration:
Wordpress, Drupal og Joomla hjemmesider er påvirket af sikkerhedsfejl, der knytter sig til email formularer. Ny patch er udgivet.

En kritisk sårbarhed i PHPMailer har åbnet systemet for ekstern kodeeksekvering indtil fejlen blev påpeget af Dawid Golunski fra it-sikkerhedsgruppen Legal Hackers.

Sårbarheden med ID ’CVE-2016-10033’ relaterer sig til hjemmesider, hvor PHPMailer anvendes til
formularer såsom ved registrering, feedback og email adgangskode gendannelse. Ifølge Golunski er alle versioner før 5.2.18 påvirket af problemet.

PHPMailer virker på serversiden til at sende automatiserede mails. Ved at udnytte afsendermail feltet på onlineformularer kan ondsindede hackere manipulere Sendmail kommandolinjen på serveren.

Gulonski har dokumenteret fejlen gennem et proof of concept, som han i første gang levererede til udviklerne bag PHPMailer. Han venter stadig med at offentliggøre en video, han har optaget af et gennemført angreb, indtil PHPMail har gennemgået yderligere tests.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Beltofte

Ud fra artiklen kan man få den opfattelse at Drupal er ramt af denne sårbarhed. Det er dog kun tilfældet for sites der benytter et tredjeparts modul, som f.eks. https://www.drupal.org/project/smtp, der benytter PHPMailer. Drupal core benytter ikke PHPMailer.

Se officiel udmelding på https://twitter.com/drupalsecurity/status/813488503153639424 og https://www.drupal.org/psa-2016-004.

Jonas Hansen

Fejlen er der bestemt, men for at udnytte den, skal man bl.a. bruge en kontakt-form eller lignende som tillader at sætte "From" feltet i en e-mail - ikke ligefrem hverdagskost.

Der findes sikkert stadigvæk sådanne naive implementationer rundt omkring, men bestemt ikke i det omfang det blev blæst op til over julen med "millioner af websites i fare".

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize