Vorsicht: Sicherheitslücke in PHPMailer gefährdet unzählige Websites

Sicherheit, Sicherheitslücken, schloss, Kette, Abus Bildquelle: John Dierckx / Flickr
Die Open-Source PHP-Bibliothek PHPMailer bringt durch eine Sicherheitslücke zahlreiche Webseiten in Gefahr. Die durch Dawid Golunski von Legal Hackers aufgedeckte Schwachstelle kann Remotecode-Ausführungen zulassen. Golunski hat angekündigt, ein Proof of Concept zu veröffentlichen. Die gute Nachricht vorab: Nach dem aktuellen Wissenstand betrifft die Schwachstelle nur die älteren Versionen von PHPMailer. Die aktuelle Version 5.2.18 ist nicht betroffen. PHPMailer bittet daher alle Entwickler, ihre Projekte schnellstmöglich zu überprüfen und wenn noch nicht geschehen auf den neusten Stand zu bringen, um die Endnutzer nicht weiter zu gefährden. Dennoch könnte sich die Sicherheitslücke zu einem Gau für viele Blog- und Webseitenbetreiber entwickelt, denn PHPMailer wird von zahlreichen Plugins und Themes verwendet, um beispielsweise mit den beliebten Content-Management-Systemen Wordpress oder Joomla E-Mails zu versenden.


Wenn die entsprechenden Erweiterungen nicht auf dem neusten Stand sind, könnte es zu Problemen kommen - und es gibt doch die eine oder andere Anwendung, die PHPMailer nutzt, weit verbreitet ist, und noch nicht aktualisiert wurde, warnt Dawid Golunski.

Deaktivieren

PHPMailer wird für zahlreiche weitere Projekte verwendet, wie Drupal, 1CRM oder SugarCRM. Kontakt- und Registrierungsformulare nutzen die Bibliothek häufig, sodass viele Webseitenbetreiber sich vielleicht gar nicht bewusst sind, betroffen zu sein - und sie können zur Sicherheit nicht mehr tun als zum Beispiel die betroffenen Plugins zu deaktivieren.

Proof of Concept angekündigt

Laut dem Entdecker der Schwachstelle erlaubt der Fehler in der PHP-Lib eine Remote-Code-Execution, die er schon bald öffentlich präsentieren will. Es fehlt in den vorangegangenen Versionen der Bibliothek die Validierung der Absenderadresse. PHPMailer umgeht das Problem mit der aktuellsten Version. Unbefugte Dritte könnten daher die Schwachstelle bei älteren Versionen über betroffene Formulare recht einfach ausnutzen und für ihre Zwecke verwenden.

Mehr dazu: Sicherheitslücken: Flash dominiert weiter, Microsoft holt aber auf Sicherheit, Sicherheitslücken, schloss, Kette, Abus Sicherheit, Sicherheitslücken, schloss, Kette, Abus John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren6
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 23:59 Uhr DisplayPort auf HDMI Adapter 4K, Iczi Vergoldet DP auf HDMI Kabel Hdtv Konverter mit Audio für PC, LaptopDisplayPort auf HDMI Adapter 4K, Iczi Vergoldet DP auf HDMI Kabel Hdtv Konverter mit Audio für PC, Laptop
Original Amazon-Preis
10,99
Im Preisvergleich ab
0,84
Blitzangebot-Preis
6,98
Ersparnis zu Amazon 36% oder 4,01

Video-Empfehlungen

Tipp einsenden