News Sicherheit: Gefährliche Lücke in PHP-Webmailer

fethomm

Commander
Registriert
Okt. 2012
Beiträge
2.597
Der polnische Sicherheitsforscher Dawid Golunski von den Legal Hackers hat eine gefährliche Lücke in der PHP-Bibliothek PHPMailer entdeckt. Damit lässt sich in PHPMailer-Versionen vor 5.2.20 aus der Ferne Schadcode ausführen, da Eingaben in das Webmail-Formular ungeprüft an Sendmail übergeben werden.

Zur News: Sicherheit: Gefährliche Lücke in PHP-Webmailer
 
In der Quelle ist PHPmailer 5.2.18 genannt und nicht 5.2.20. allerdings fixed 5.2.19 den Bugs nicht vollständig.

Ist da nur PHP 5.2.0 und älter betroffen?
 
Zuletzt bearbeitet:
Naja, soweit ich das gehört habe, ist ja nur das Setzen des Senders betroffen und wohl nur die wenigstens Anwendungen lassen da Eingaben von außen zu.

Schön dass es gefunden und geschlossen wurde, aber ich halte das Risikopotential bei den üblichen Anwendungen für doch eher überschaubar.
 
Ja dürfte nur wenige betreffen, zum einen muss man ein Absenderfeld eingeben dürfen und zum anderen dürfte dieses Feld dann nicht selbst validiert werden. Sendmail verwenden wohl die meisten per Default, aber SMTP-Nutzer sind dann auch schon mal sicher.

Die meisten werden eh einen Formulargenerator verwenden (in z. B. Joomla, WordPress & Co) oder wenn sie selbst die Formulare erstellen, dann das Absender-Feld auch selbst validieren, alles andere wäre grob Fahrlässig.
Von daher werden wohl primär nur wenige selbst gebastelte Seiten verwundbar sein, bei denen dürfte es eh keine Daten zu klauen geben ;-)
 
Oh man, dass sowas nicht früher gefunden wird? Wenn der Code auch nur von einem Sicherheitsinformatiker der sich mit PHP auskennt durchgeschaut würde, wären die Fehler wohl aufgefallen... Aber gut, wenn es dann jemand anderes macht ;)
 
Auf der Projektseite wird 5.2.19 immer noch als aktuellster stable-Build geführt. Das animiert wahrscheinlich auch nicht jedem jetzt sofort aktiv zu werden.
 
PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
 
Ned Stark schrieb:
PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.

Nun ja, zugegeben ist PHP nicht die schönste Sprache und hat einige fragwürdige Konzepte. Aber auch andere Frameworks und Libraries in anderen Sprachen haben ihre Probleme, z.B. https://www.cvedetails.com/vulnerab...oduct_id-22568/Rubyonrails-Ruby-On-Rails.html.

Was konkret ist denn kaputt in deinen Augen?
 
Ned Stark schrieb:
PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
Oh Ohgott...Jetzt geht das wieder los. Als wäre eine Alternative fehlerfrei...
 
zepho schrieb:
Was konkret ist denn kaputt in deinen Augen?

Das fehlende Sicherheitskonzept ist heutzutage untragbar, wie bereits geschrieben: Eine Sprache darf so einen Fehler in dieser Art überhaupt nicht zulassen. Ich habe vor über 10 Jahren auch mit PHP meine Brötchen verdient, aber die IT-Welt dreht sich nun mal weiter. Das ist generell ein Problem mit PHP. Entweder sind es blutige Anfänger die mit PHP arbeiten (und die - wie in diesem Fall - “vergessen“ dass man sämtliche Eingaben gegen XSS überprüfen muss oder absolut lernresistente Kollegen. Die meisten Webentwickler kommen früher oder später (wenn sie mit PHP begonnen haben) mit anderen Sprachen in Berührung. Und dann gehen sie nicht mehr zurück zu PHP.

Es gibt gefühlt tausende Seiten im Netz, die dir sagen, warum die Sprache kaputt ist, diese hier gefällt mir am besten:

https://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/

Crizzo schrieb:
Oh Ohgott...Jetzt geht das wieder los. Als wäre eine Alternative fehlerfrei...

Die Frage müde eher lauten: Was funktioniert in PHP überhaupt fehlerfrei? Welche in PHP eingebaute Funktionalität hat keine wtf Nebeneffekte?

zepho schrieb:
Das sehe ich ähnlich :rolleyes:

Ja und welche Alternativen beherrscht ihr? Python, Ruby, Node.js oder auch ASP.NET sind allesamt um Welten besser. Vor 15 Jahren war PHP so gut wie alternativlos, heutzutage ist PHP keine Alternative mehr.
 
selber dran schuld, wenn man so so eine alte version verwendet. in der zwischenzeit gab es schon einige neuere versionen und jetzt sind wir schon bei php 7.

gerade als entwickler sollte man doch schauen, das man seine scripte halbwegs auf modernem code aufbaut.
 
@Gamer20:
Hast du den Artikel überhaupt gelesen?

Die Lücke ist nicht in PHP, sondern in einem in PHP geschriebenen Skript bzw. einer Library.
 
Habe ich vor c.a einem Jahr auch schon entdeckt als ich die send() Funktion mal Debuggen musste.
 
AW: Sicherheit: Gefährliche Lücke in PHP-Webmailer

Habe ich vor c.a einem Jahr auch schon entdeckt als ich die send() Funktion mal Debuggen musste.

Verpasster Weltrum. Cookie von mir! :)
 
Zurück
Oben