DFN-CERT Portal

Schwachstellen

DFN-CERT-2016-2140: PHPMailer: Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten und die Kompromittierung von Webanwendungen

Historie

Version 1 (2016-12-27 12:02)
Neues Advisory
Version 2 (2016-12-28 10:43)
Der mit PHPMailer 5.2.18 veröffentlichte Fix für CVE-2016-10033 ist unvollständig. Ein entfernter, nicht authentifizierter Angreifer kann über PHPMailer vor Version 5.2.20 weiterhin beliebigen Programmcode auf einem betroffenen System ausführen. Die neue Schwachstelle wird unter der offiziellen Bezeichnung CVE-2016-10045 geführt. Der Hersteller ist informiert, hat aber noch keine Sicherheitsupdates zur Verfügung gestellt.
Version 3 (2016-12-29 10:03)
Der Hersteller veröffentlicht Version 5.2.20 von PHPMailer zur Behebung der Schwachstelle und Version 5.2.21 ohne weitere funktionale Änderungen. Für Fedora EPEL 6 und 7 steht PHPMailer in der Version 5.2.21 als Sicherheitsupdate im Status 'testing' bereit. Für Fedora 24 und 25 befinden sich die Sicherheitsudpates für PHPMailer 5.2.21 noch im Status 'pending'. Die bisherigen Sicherheitsupdates FEDORA-EPEL-2016-6648c6777a (Fedora EPEL 6), FEDORA-EPEL-2016-2e4783e791 (Fedora EPEL 7), FEDORA-2016-bea86da4cb (Fedora 24) und FEDORA-2016-0085192b9f (Fedora 25) auf PHPMailer 5.2.19 befinden sich dadurch im Status 'obsolete' und wurden aus diesem Sicherheitshinweis entfernt. Joomla! aktualisiert den Sicherheitshinweis [20161205] hinsichtlich der neuen Schwachstelle, bleibt aber bei der Veröffentlichung von PHPMailer 5.2.20 mit Joomla! 3.7. Es stehen hier keine Sicherheitsupdates zur Verfügung. Nutzer der PHPMailer-Bibliothek außerhalb des Joomla!-Kerns (beispielsweise durch Plugins) werden gebeten, die Bibliothek schnellstmöglich selbst zu aktualisieren.
Version 4 (2017-01-02 09:45)
Debian stellt für die Distribution Debian Jessie (stable) ein Backport-Sicherheitsupdate für PHPMailer bereit.
Version 5 (2017-01-05 11:59)
Debian stellt für die Distribution Debian Jessie (stable) ein Regressions-Sicherheitsupdate für PHPMailer bereit, da einige Funktionen nach dem ersten Update unter bestimmten Umständen nicht mehr funktionierten.
Version 6 (2017-01-10 09:40)
Für Fedora 24 und 25 stehen neue Sicherheitsupdates für PHPMailer auf Version 5.2.22 im Status 'testing' bereit, die zusätzlich die Schwachstelle CVE-2017-5223 beheben. Die entsprechenden Sicherheitsupdates für Fedora EPEL 6 und 7 befinden sich noch im Status 'pending'. Ein entfernter, nicht authentifizierter Angreifer kann die mit diesen neuen Updates behobene Schwachstelle ausnutzen, um Informationen über auf dem System vorhandene Dateien auszuspähen. Durch die Veröffentlichung der neuen Sicherheitsupdates befinden sich die bisherigen Updates für Fedora 24 sowie Fedora EPEL 6 und 7 im Status 'obsolete', die entsprechenden Referenzen wurden aus diesem Sicherheitshinweis entfernt. Das neue Update zur Behebung von CVE-2017-5223 für Fedora 25 ist als 'Enhancement Update' klassifiziert, wodurch das vorherige Sicherheitsupdate im Status 'stable' verbleibt.
Version 7 (2017-01-12 15:27)
WordPress veröffentlicht Version 4.7.1 der Software als Sicherheits- und Wartungsupdate und aktualisiert damit u.a. die Komponente PHPMailer auf Version 5.2.21. Die Kernfunktionalität zum Emailversand in WordPress ist nicht durch CVE-2016-10033 und CVE-2016-10045 verwundbar, jedoch greifen Plugins von Drittanbietern auf PHPMailer zurück.

Betroffene Software

PHPMailer < 5.2.20

Betroffene Plattformen

Drupal
Joomla!
WordPress < 4.7.1
Debian Linux 8.6 Jessie
Red Hat Fedora 24
Red Hat Fedora 25
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Lösung

Patch

PHPMailer 5.2.18 Release Notes

Patch

Fedora Security Update FEDORA-2016-6941d25875 (Fedora 25, php-PHPMailer-5.2.21-1)

Patch

PHPMailer 5.2.21 Changelog

Patch

Debian Security Advisory DSA-3750-1

Patch

Debian Security Advisory DSA-3750-2

Patch

Fedora Enhancement Update FEDORA-2017-9166f6b7ed (Fedora 25, php-PHPMailer-5.2.22-1.fc25)

Patch

Fedora Security Update FEDORA-2017-c3dc97e1e1 (Fedora 24, php-PHPMailer-5.2.22-1.fc24)

Patch

Fedora Security Update FEDORA-EPEL-2017-7d479b3940 (Fedora EPEL 6, php-PHPMailer-5.2.22-1.el6)

Patch

Fedora Security Update FEDORA-EPEL-2017-fbb2447c6e (Fedora EPEL 7, php-PHPMailer-5.2.22-1.el7)

Patch

WordPress 4.7.1 Release Notes

Beschreibung

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle im PHPMailer vor Version 5.2.18 ausnutzen, um die Benutzerrechte des Webserver-Benutzers auf dem betroffenen System zu erlangen und dadurch eine Anwendung, die auf PHPMailer zurückgreift, vollständig zu kompromittieren.

PHPMailer ist weit verbreitet und wird beispielsweise in den quelloffenen Projekten WordPress, Drupal und Joomla! verwendet. Der Hersteller stellt die Programmversion 5.2.18 von PHPMailer als Sicherheitsupdate bereit.

Für die Distributionen Fedora 24 und 25 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates auf Version 5.2.19 im Status 'testing' bereit.

Der Hersteller von Joomla! weist darauf hin, dass PHPMailer 5.2.18 erst in Joomla! 3.7 eingesetzt wird, da die korrekte Verwendung der Joomla!-eigenen Email-Klasse JMail die Ausnutzung der Schwachstelle verhindert. Allerdings können Plugins von Drittanbietern für Joomla! auf PHPMailer zurückgreifen und dadurch die Anwendung angreifbar machen.

Das Drupal Security Team veröffentlicht ein Public Service Announcement zu PHPMailer und weist darauf hin, dass Standardinstallationen von Drupal nur verwundbar sind, wenn die zur Verfügung gestellte PHPMailer-Bibliothek verwendet wird. Drupal-Core selbst ist nicht verwundbar. Benutzer von PHPMailer in Drupal werden angewiesen, schnellstmöglich auf die neueste Version der Software zu aktualisieren, die auf den Seiten des Herstellers verfügbar ist.

Schwachstellen

CVE-2017-5223: Schwachstelle in PHPMailer ermöglicht Ausspähen von Informationen

Falls Inhalte in einer Anwendung, die auf PHPMailer zurückgreift, ungeprüft an dessen Funktion 'msgHTML()' übergeben werden, kann ein entfernter, nicht authentifizierter Angreifer Informationen über lokal auf dem System vorhandene Dateien ausspähen.

CVE-2016-10045: Schwachstelle in PHPMailer ermöglicht Erlangen von Benutzerrechten

Der mit PHPMailer 5.2.18 veröffentlichte Fix für CVE-2016-10033 ist unvollständig, da ein interner Konflikt zwischen den Funktionen 'escapeshellarg' und 'escapeshellcmd' nicht betrachtet wird. Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in PHPMail vor Version 5.2.20 ausnutzen, um die Benutzerrechte des Webserver-Benutzers auf dem betroffenen System zu erlangen und dadurch eine Anwendung, die auf PHPMail zurückgreift, vollständig zu kompromittieren.

CVE-2016-10033: Schwachstelle in PHPMailer ermöglicht Erlangen von Benutzerrechten

Es besteht eine nicht näher spezifizierte Schwachstelle in einer verwundbaren Klasse von PHPMailer vor Version 5.2.18, die durch häufig verwendete Komponenten von Webseiten, die einen Email-Versand auslösen, ausgenutzt werden kann. Zu diesen Komponenten gehören Formulare, die beispielsweise für Kontaktanfragen und Feedback verwendet werden, aber auch Anfragen zum Zurücksetzen eines Benutzerpassworts und ähnliche. Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in PHPMail vor Version 5.2.18 ausnutzen, um die Benutzerrechte des Webserver-Benutzers auf dem betroffenen System zu erlangen und dadurch eine Anwendung, die auf PHPMail zurückgreift, vollständig zu kompromittieren.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.