News Sicherheit: Gefährliche Lücke in PHP-Webmailer

fethomm

Redakteur
Teammitglied
Dabei seit
Okt. 2012
Beiträge
2.594
#1
Der polnische Sicherheitsforscher Dawid Golunski von den Legal Hackers hat eine gefährliche Lücke in der PHP-Bibliothek PHPMailer entdeckt. Damit lässt sich in PHPMailer-Versionen vor 5.2.20 aus der Ferne Schadcode ausführen, da Eingaben in das Webmail-Formular ungeprüft an Sendmail übergeben werden.

Zur News: Sicherheit: Gefährliche Lücke in PHP-Webmailer
 

Crizzo

Lt. Commander
Dabei seit
Juli 2005
Beiträge
2.044
#2
In der Quelle ist PHPmailer 5.2.18 genannt und nicht 5.2.20. allerdings fixed 5.2.19 den Bugs nicht vollständig.

Ist da nur PHP 5.2.0 und älter betroffen?
 
Zuletzt bearbeitet:

Krafty

Lt. Commander
Dabei seit
Sep. 2009
Beiträge
1.032
#4
Naja, soweit ich das gehört habe, ist ja nur das Setzen des Senders betroffen und wohl nur die wenigstens Anwendungen lassen da Eingaben von außen zu.

Schön dass es gefunden und geschlossen wurde, aber ich halte das Risikopotential bei den üblichen Anwendungen für doch eher überschaubar.
 
Dabei seit
Jan. 2006
Beiträge
5.050
#5
Ja dürfte nur wenige betreffen, zum einen muss man ein Absenderfeld eingeben dürfen und zum anderen dürfte dieses Feld dann nicht selbst validiert werden. Sendmail verwenden wohl die meisten per Default, aber SMTP-Nutzer sind dann auch schon mal sicher.

Die meisten werden eh einen Formulargenerator verwenden (in z. B. Joomla, WordPress & Co) oder wenn sie selbst die Formulare erstellen, dann das Absender-Feld auch selbst validieren, alles andere wäre grob Fahrlässig.
Von daher werden wohl primär nur wenige selbst gebastelte Seiten verwundbar sein, bei denen dürfte es eh keine Daten zu klauen geben ;-)
 
Dabei seit
Dez. 2013
Beiträge
4.343
#6
Oh man, dass sowas nicht früher gefunden wird? Wenn der Code auch nur von einem Sicherheitsinformatiker der sich mit PHP auskennt durchgeschaut würde, wären die Fehler wohl aufgefallen... Aber gut, wenn es dann jemand anderes macht ;)
 
Dabei seit
Jan. 2007
Beiträge
344
Dabei seit
Mai 2012
Beiträge
220
#8
Auf der Projektseite wird 5.2.19 immer noch als aktuellster stable-Build geführt. Das animiert wahrscheinlich auch nicht jedem jetzt sofort aktiv zu werden.
 

Ned Stark

Lt. Junior Grade
Dabei seit
Sep. 2012
Beiträge
502
#9
PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
 

zepho

Cadet 3rd Year
Dabei seit
Okt. 2015
Beiträge
56
#10
PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
Nun ja, zugegeben ist PHP nicht die schönste Sprache und hat einige fragwürdige Konzepte. Aber auch andere Frameworks und Libraries in anderen Sprachen haben ihre Probleme, z.B. https://www.cvedetails.com/vulnerab...oduct_id-22568/Rubyonrails-Ruby-On-Rails.html.

Was konkret ist denn kaputt in deinen Augen?
 

Crizzo

Lt. Commander
Dabei seit
Juli 2005
Beiträge
2.044
#11

Ned Stark

Lt. Junior Grade
Dabei seit
Sep. 2012
Beiträge
502
#13
Das fehlende Sicherheitskonzept ist heutzutage untragbar, wie bereits geschrieben: Eine Sprache darf so einen Fehler in dieser Art überhaupt nicht zulassen. Ich habe vor über 10 Jahren auch mit PHP meine Brötchen verdient, aber die IT-Welt dreht sich nun mal weiter. Das ist generell ein Problem mit PHP. Entweder sind es blutige Anfänger die mit PHP arbeiten (und die - wie in diesem Fall - “vergessen“ dass man sämtliche Eingaben gegen XSS überprüfen muss oder absolut lernresistente Kollegen. Die meisten Webentwickler kommen früher oder später (wenn sie mit PHP begonnen haben) mit anderen Sprachen in Berührung. Und dann gehen sie nicht mehr zurück zu PHP.

Es gibt gefühlt tausende Seiten im Netz, die dir sagen, warum die Sprache kaputt ist, diese hier gefällt mir am besten:

https://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/

Oh Ohgott...Jetzt geht das wieder los. Als wäre eine Alternative fehlerfrei...
Die Frage müde eher lauten: Was funktioniert in PHP überhaupt fehlerfrei? Welche in PHP eingebaute Funktionalität hat keine wtf Nebeneffekte?

Ja und welche Alternativen beherrscht ihr? Python, Ruby, Node.js oder auch ASP.NET sind allesamt um Welten besser. Vor 15 Jahren war PHP so gut wie alternativlos, heutzutage ist PHP keine Alternative mehr.
 

Gamer20

Lt. Junior Grade
Dabei seit
Dez. 2005
Beiträge
346
#14
selber dran schuld, wenn man so so eine alte version verwendet. in der zwischenzeit gab es schon einige neuere versionen und jetzt sind wir schon bei php 7.

gerade als entwickler sollte man doch schauen, das man seine scripte halbwegs auf modernem code aufbaut.
 
Dabei seit
März 2008
Beiträge
897
#15
@Gamer20:
Hast du den Artikel überhaupt gelesen?

Die Lücke ist nicht in PHP, sondern in einem in PHP geschriebenen Skript bzw. einer Library.
 
Dabei seit
Juni 2001
Beiträge
18.192
#16

zepho

Cadet 3rd Year
Dabei seit
Okt. 2015
Beiträge
56
#17
Top