Ein Mitarbeiter der Gruppe Legal Hackers, David Golinski, hat Informationen zu einer kritischen Lücke in PHPMailer veröffentlicht (CVE-2016-10033).

Der Fehler in der weit verbreiteten PHP-Bibliothek führt dazu, dass Absenderdaten ungeprüft an Sendmail weitergeleitet werden, die über ein Webformular eingetragen worden sind. In den Versionen vor 5.2.18 lässt sich mit den Rechten des Webserver-Users Shellcode mit entsprechenden Eingaben darüber injizieren.

Die Bibliothek nutzen vor allem PHP-Content-Management-Systeme. Verwendung findet diese unter anderem bei Anmelde-, Feedback-, Kontakt- oder Passwortrücksetzungsformularen. Exemplarisch führt Golinski 1CRM, Drupal, Joomla!, SugarCRM, WordPress sowie Yii auf. Die PHPMailer-Entwickler haben zwar den Fehler inzwischen behoben, bis alle darauf aufbauenden Projekte diese Änderungen übernommen haben, dürfte allerdings noch etwas dauern. Der Sicherheitsexperte empfiehlt den Nutzern, umgehend ihre Systeme auf die gepatchten Versionen zu aktualisieren.

Golinski entschuldigte sich für den Zeitpunkt der Veröffentlichung, da dieser wegen Weihnachten als reichlich unpassend empfunden werden könnte. Allerdings hatte zu der Lücke einer der betroffenen Hersteller zentrale Informationen veröffentlicht, die potenziellen Angreifern helfen könnten. Per Twitter kündigte er an, ein Video und ein vollständiges Advisory mit dem Proof of Concept online zu stellen. Für die Lücke gibt es inzwischen auch einen Namen und eine dazugehörige Website: PwnScriptum.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE