1. #1
    Redakteur
    Dabei seit
    Okt 2012
    Beiträge
    849

    Post Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Der polnische Sicherheitsforscher Dawid Golunski von den Legal Hackers hat eine gefährliche Lücke in der PHP-Bibliothek PHPMailer entdeckt. Damit lässt sich in PHPMailer-Versionen vor 5.2.20 aus der Ferne Schadcode ausführen, da Eingaben in das Webmail-Formular ungeprüft an Sendmail übergeben werden.

    Zur News: Sicherheit: Gefährliche Lücke in PHP-Webmailer

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Lt. Commander
    Dabei seit
    Jul 2005
    Beiträge
    1.884

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    In der Quelle ist PHPmailer 5.2.18 genannt und nicht 5.2.20. allerdings fixed 5.2.19 den Bugs nicht vollständig.

    Ist da nur PHP 5.2.0 und älter betroffen?
    Geändert von Crizzo (28.12.2016 um 11:21 Uhr)

  4. #3

  5. #4
    Lieutenant
    Dabei seit
    Sep 2009
    Beiträge
    898

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Naja, soweit ich das gehört habe, ist ja nur das Setzen des Senders betroffen und wohl nur die wenigstens Anwendungen lassen da Eingaben von außen zu.

    Schön dass es gefunden und geschlossen wurde, aber ich halte das Risikopotential bei den üblichen Anwendungen für doch eher überschaubar.

  6. #5
    Commodore
    Dabei seit
    Jan 2006
    Beiträge
    4.727

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Ja dürfte nur wenige betreffen, zum einen muss man ein Absenderfeld eingeben dürfen und zum anderen dürfte dieses Feld dann nicht selbst validiert werden. Sendmail verwenden wohl die meisten per Default, aber SMTP-Nutzer sind dann auch schon mal sicher.

    Die meisten werden eh einen Formulargenerator verwenden (in z. B. Joomla, WordPress & Co) oder wenn sie selbst die Formulare erstellen, dann das Absender-Feld auch selbst validieren, alles andere wäre grob Fahrlässig.
    Von daher werden wohl primär nur wenige selbst gebastelte Seiten verwundbar sein, bei denen dürfte es eh keine Daten zu klauen geben ;-)
    Kein Abonnent, ehemaliger Werbegucker (die animierte Werbung ist mir dann doch zu viel)
    Ok, nach dem Appell ist uBlock aus, aber wenn die seitenfüllende Randwerbung wieder erscheint, auf die man leicht klickt obwohl man nur scrollen wollte, dann ist uBlock wieder an.

  7. #6
    Captain
    Dabei seit
    Dez 2013
    Ort
    Berlin
    Beiträge
    3.358

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Oh man, dass sowas nicht früher gefunden wird? Wenn der Code auch nur von einem Sicherheitsinformatiker der sich mit PHP auskennt durchgeschaut würde, wären die Fehler wohl aufgefallen... Aber gut, wenn es dann jemand anderes macht
    signature.load()

  8. #7
    Ensign
    Dabei seit
    Jan 2007
    Ort
    Schweiz
    Beiträge
    209
    Geändert von Helios_ocaholic (28.12.2016 um 12:34 Uhr)
    Lenovo ThinkPad W520, Prozessor: Intel i7-2860QM, NVIDIA Quadro 2000M (2GB RAM), 32GB RAM, Samsung 840 Pro (256GB) - LinkedIn: Uwe Ruch --- HumorCare Schweiz --- WOMOBLOG.CH - Tipps rund ums Wohnmobil

  9. #8
    Ensign
    Dabei seit
    Mai 2012
    Ort
    Berlin
    Beiträge
    183

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Auf der Projektseite wird 5.2.19 immer noch als aktuellster stable-Build geführt. Das animiert wahrscheinlich auch nicht jedem jetzt sofort aktiv zu werden.

  10. #9
    Lt. Junior Grade
    Dabei seit
    Sep 2012
    Ort
    Anse Cocos, La Digue, SY
    Beiträge
    466

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
    Die Politik ist nicht dafür da, sich um das Internet zu kümmern.
    -
    Das Internet ist dafür da, sich um die Politik zu kümmern

  11. #10
    Cadet 2nd Year
    Dabei seit
    Okt 2015
    Beiträge
    30

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Zitat Zitat von Ned Stark Beitrag anzeigen
    PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
    Nun ja, zugegeben ist PHP nicht die schönste Sprache und hat einige fragwürdige Konzepte. Aber auch andere Frameworks und Libraries in anderen Sprachen haben ihre Probleme, z.B. https://www.cvedetails.com/vulnerabi...-On-Rails.html.

    Was konkret ist denn kaputt in deinen Augen?

  12. #11
    Lt. Commander
    Dabei seit
    Jul 2005
    Beiträge
    1.884

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Zitat Zitat von Ned Stark Beitrag anzeigen
    PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
    Oh Ohgott...Jetzt geht das wieder los. Als wäre eine Alternative fehlerfrei...
    Eine kleine gemütliche Gaming-Community: Victorypoint.de
    Dein eigenes Forum erstellen mit der kostenlosen Forensoftware phpBB: www.phpbb.de

  13. #12
    Cadet 2nd Year
    Dabei seit
    Okt 2015
    Beiträge
    30

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Zitat Zitat von Crizzo Beitrag anzeigen
    Oh Ohgott...Jetzt geht das wieder los. Als wäre eine Alternative fehlerfrei...
    Das sehe ich ähnlich

  14. #13
    Lt. Junior Grade
    Dabei seit
    Sep 2012
    Ort
    Anse Cocos, La Digue, SY
    Beiträge
    466

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Zitat Zitat von zepho Beitrag anzeigen
    Was konkret ist denn kaputt in deinen Augen?
    Das fehlende Sicherheitskonzept ist heutzutage untragbar, wie bereits geschrieben: Eine Sprache darf so einen Fehler in dieser Art überhaupt nicht zulassen. Ich habe vor über 10 Jahren auch mit PHP meine Brötchen verdient, aber die IT-Welt dreht sich nun mal weiter. Das ist generell ein Problem mit PHP. Entweder sind es blutige Anfänger die mit PHP arbeiten (und die - wie in diesem Fall - “vergessen“ dass man sämtliche Eingaben gegen XSS überprüfen muss oder absolut lernresistente Kollegen. Die meisten Webentwickler kommen früher oder später (wenn sie mit PHP begonnen haben) mit anderen Sprachen in Berührung. Und dann gehen sie nicht mehr zurück zu PHP.

    Es gibt gefühlt tausende Seiten im Netz, die dir sagen, warum die Sprache kaputt ist, diese hier gefällt mir am besten:

    https://eev.ee/blog/2012/04/09/php-a...of-bad-design/

    Zitat Zitat von Crizzo Beitrag anzeigen
    Oh Ohgott...Jetzt geht das wieder los. Als wäre eine Alternative fehlerfrei...
    Die Frage müde eher lauten: Was funktioniert in PHP überhaupt fehlerfrei? Welche in PHP eingebaute Funktionalität hat keine wtf Nebeneffekte?

    Zitat Zitat von zepho Beitrag anzeigen
    Das sehe ich ähnlich
    Ja und welche Alternativen beherrscht ihr? Python, Ruby, Node.js oder auch ASP.NET sind allesamt um Welten besser. Vor 15 Jahren war PHP so gut wie alternativlos, heutzutage ist PHP keine Alternative mehr.
    Die Politik ist nicht dafür da, sich um das Internet zu kümmern.
    -
    Das Internet ist dafür da, sich um die Politik zu kümmern

  15. #14
    Lt. Junior Grade
    Dabei seit
    Dez 2005
    Beiträge
    330

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    selber dran schuld, wenn man so so eine alte version verwendet. in der zwischenzeit gab es schon einige neuere versionen und jetzt sind wir schon bei php 7.

    gerade als entwickler sollte man doch schauen, das man seine scripte halbwegs auf modernem code aufbaut.

  16. #15
    Lieutenant
    Dabei seit
    Mär 2008
    Ort
    Darmstadt
    Beiträge
    847

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    @Gamer20:
    Hast du den Artikel überhaupt gelesen?

    Die Lücke ist nicht in PHP, sondern in einem in PHP geschriebenen Skript bzw. einer Library.

  17. #16
    Fleet Admiral
    Dabei seit
    Jun 2001
    Ort
    Bergen (bei Freising, im schönen Bayern)
    Beiträge
    17.621

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Aktuelle Joomla! Installationen sind davon nicht unmittelbar betroffen:

    https://developer.joomla.org/securit...-advisory.html

    Die aktualisierte PHPMailer Library wird mit 3.7 ausgeliefert.
    Artikel: MSI Z170A Gaming Pro Carbon | USB Stick für OS Installation | RDP mit DPI-Scaling | Kostenlose SSL Zertifikate
    ~
    "Ich werde sterben, umgeben von den Oberidioten der Galaxie!" - GotG
    ~
    PC | HiFi | BLOG | Webdesign | AMD FAQ | Filme | Musik | Diablo 3

  18. #17
    Cadet 2nd Year
    Dabei seit
    Okt 2015
    Beiträge
    30

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Zitat Zitat von Ned Stark Beitrag anzeigen
    Es gibt gefühlt tausende Seiten im Netz, die dir sagen, warum die Sprache kaputt ist, diese hier gefällt mir am besten:

    https://eev.ee/blog/2012/04/09/php-a...of-bad-design/
    Tatsächlich bin ich auch beruflich mit Ruby und Python unterwegs. Aber sehr cool, dass mal wer Argumente referenziert. Danke dafür

  19. #18
    Lt. Junior Grade
    Dabei seit
    Mai 2014
    Beiträge
    345

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Habe ich vor c.a einem Jahr auch schon entdeckt als ich die send() Funktion mal Debuggen musste.

  20. #19
    Lt. Junior Grade
    Dabei seit
    Apr 2009
    Beiträge
    297

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    Habe ich vor c.a einem Jahr auch schon entdeckt als ich die send() Funktion mal Debuggen musste.
    Verpasster Weltrum. Cookie von mir!
    *Wenn es sein, lass es dies was du hast* Dritte Buch Mose.

  21. #20
    Lieutenant
    Dabei seit
    Aug 2004
    Beiträge
    627

    AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

    edit: ups, falscher thread, sorry, gerne löschen
    Geändert von Second Nick (29.12.2016 um 13:25 Uhr)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite