Lek in phpmailer

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Ramon van Dongen

Ramon van Dongen

28/12/2016 09:07:37
Quote Anchor link
'Miljoenen websites kwetsbaar door bug in mailformulieren' http://nu.nl/internet/4371379/miljoenen-websites-kwetsbaar-bug-in-mailformulieren.html (via @NUnl)

Toevoeging op 28/12/2016 09:08:23:

Zou het echt zo erg zijn als beweerd wordt? De media kan het nog al eens opblazen
 
PHP hulp

PHP hulp

11/05/2021 15:35:09
 
- Ariën -
Beheerder

- Ariën -

28/12/2016 09:31:17
Quote Anchor link
Quote:
PHPMailer controleert volgens Golunski niet of een e-mailadres gebruikt in een formulier klopt. Dit stelt bijvoorbeeld hackers via een omweg in staat om hun eigen code uit te voeren op de server van een site.

Het lek is naar mijn idee blijkbaar dus alleen te misbruiken als er geen server-side invoervalidatie in je eigen site gebouwd zit, om een e-mail adres te controleren. Ik denk dat de meeste sites hier wel aan voldoen.

Verder moet ik nog even kijken naar dat stukje code waar een mailadres wordt gebruikt, voordat ik meer kan zeggen. ;-)
 
Elmar vH

Elmar vH

28/12/2016 10:24:00
Quote Anchor link
Aanvullende bronnen:
http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

Phpmailer:
https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md


Updaten dus :)

Edit: je moet wel updaten naar 5.2.20 ( deze is op het moment van schrijven nog niet uit ).
Edit: https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html
Gewijzigd op 28/12/2016 11:51:18 door Elmar vH
 
Thomas van den Heuvel

Thomas van den Heuvel

28/12/2016 16:39:49
Quote Anchor link
Pretty much this?

https://imgs.xkcd.com/comics/exploits_of_a_mom.png
 
Ramon van Dongen

Ramon van Dongen

28/12/2016 16:44:12
Quote Anchor link
Zoiets ja Thomas haha

Quote:
Edit: je moet wel updaten naar 5.2.20 ( deze is op het moment van schrijven nog niet uit ).

Dus updaten naar een nog niet bestaande versie Elmar?
 
Elmar vH

Elmar vH

28/12/2016 17:24:04
Quote Anchor link
;-)

Er was een fix gemeld; 5.2.19, maar er kwam al vrij snel naar voren dat het in 5.2.20 opgelost zou moeten worden..omdat het in 5.2.19 achterhaalt was.

Dus ja, je moet inderdaad updaten naar een niet bestaande versie :P
 
Koen Hollander

Koen Hollander

28/12/2016 23:49:17
Quote Anchor link
Ik denk dat ik grotendeels voor mijzelf praat.
Maar de media blaast het gigantisch op.

Een normale webmaster kan heus wel degelijke controle inbouwen (een paar regels extra http://www.w3schools.com/php/filter_validate_email.asp)

Als men er achter komt dat de media zich weer eens te los laat, vergeten we dit allemaal zeer spoedig.
 
Thomas van den Heuvel

Thomas van den Heuvel

29/12/2016 01:16:30
Quote Anchor link
Koen Hollander op 28/12/2016 23:49:17:
Maar de media blaast het gigantisch op.


De media weet af en toe van toeten noch blazen als het over technische onderwerpen gaat. Je zou dit voorval zelfs kunnen gebruiken om te "bewijzen" dat open source niet veilig zou zijn. Terwijl het de programmeurs zijn die lopen te prutsen. Er is weinig opgewassen tegen een verkeerd gebruik van software.
 
Ozzie PHP

Ozzie PHP

29/12/2016 02:12:19
Quote Anchor link
>> Terwijl het de programmeurs zijn die lopen te prutsen. Er is weinig opgewassen tegen een verkeerd gebruik van software.

Ik heb PHPMailer nog nooit gebruikt ... maar of je het verkeerd gebruikt hangt met name af van de beoogde werking van het product. Als bijv. in de documentatie van PHPMailer staat dat de mailadressen worden gecontroleerd, en dat vervolgens niet gebeurt, dan ligt de fout bij PHPMailer. Ik weet niet of het hier om fout gebruik gaat, of om een bug in de software.
 
Jan Graneker

Jan Graneker

30/12/2016 09:42:03
Quote Anchor link
Ik installeer zelf PHPmailer los (dus handmatig) niet i.c.m. een CMS. Wat zijn de veranderen precies?
Wanneer ik namelijk de nieuwste map op de server krijg ik een whitepage. Wie heeft hier meer informatie over?
 
- Ariën -
Beheerder

- Ariën -

30/12/2016 09:55:09
Quote Anchor link
Logfiles even bekijken omdat je errors misschien uitstaan?
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.