Lek in phpmailer

Door Ramon van Dongen op 28-12-2016 09:07

3.564 views

'Miljoenen websites kwetsbaar door bug in mailformulieren' http://nu.nl/internet/4371379/miljoenen-websites-kwetsbaar-bug-in-mailformulieren.html (via @NUnl)

[size=xsmall]Toevoeging op 28/12/2016 09:08:23:[/size]

Zou het echt zo erg zijn als beweerd wordt? De media kan het nog al eens opblazen

- Ariën -

28-12-2016 09:31

PHPMailer controleert volgens Golunski niet of een e-mailadres gebruikt in een formulier klopt. Dit stelt bijvoorbeeld hackers via een omweg in staat om hun eigen code uit te voeren op de server van een site.

Het lek is naar mijn idee blijkbaar dus alleen te misbruiken als er geen server-side invoervalidatie in je eigen site gebouwd zit, om een e-mail adres te controleren. Ik denk dat de meeste sites hier wel aan voldoen.

Verder moet ik nog even kijken naar dat stukje code waar een mailadres wordt gebruikt, voordat ik meer kan zeggen. ;-)

E E vH

28-12-2016 10:24 gewijzigd op 28-12-2016 11:51

Aanvullende bronnen:
http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

Phpmailer:
https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md

Updaten dus :)

Edit: je moet wel updaten naar 5.2.20 ( deze is op het moment van schrijven nog niet uit ).
Edit: https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html

Thomas van den Heuvel

28-12-2016 16:39

Pretty much this?

Ramon van Dongen

28-12-2016 16:44

Zoiets ja Thomas haha

Edit: je moet wel updaten naar 5.2.20 ( deze is op het moment van schrijven nog niet uit ).

Dus updaten naar een nog niet bestaande versie Elmar?

E E vH

28-12-2016 17:24

;-)

Er was een fix gemeld; 5.2.19, maar er kwam al vrij snel naar voren dat het in 5.2.20 opgelost zou moeten worden..omdat het in 5.2.19 achterhaalt was.

Dus ja, je moet inderdaad updaten naar een niet bestaande versie :P

Koen Hollander

28-12-2016 23:49

Ik denk dat ik grotendeels voor mijzelf praat.
Maar de media blaast het gigantisch op.

Een normale webmaster kan heus wel degelijke controle inbouwen (een paar regels extra http://www.w3schools.com/php/filter_validate_email.asp)

Als men er achter komt dat de media zich weer eens te los laat, vergeten we dit allemaal zeer spoedig.

Thomas van den Heuvel

29-12-2016 01:16

Koen Hollander op 28/12/2016 23:49:17
Maar de media blaast het gigantisch op.

De media weet af en toe van toeten noch blazen als het over technische onderwerpen gaat. Je zou dit voorval zelfs kunnen gebruiken om te "bewijzen" dat open source niet veilig zou zijn. Terwijl het de programmeurs zijn die lopen te prutsen. Er is weinig opgewassen tegen een verkeerd gebruik van software.

Ozzie PHP

29-12-2016 02:12

>> Terwijl het de programmeurs zijn die lopen te prutsen. Er is weinig opgewassen tegen een verkeerd gebruik van software.

Ik heb PHPMailer nog nooit gebruikt ... maar of je het verkeerd gebruikt hangt met name af van de beoogde werking van het product. Als bijv. in de documentatie van PHPMailer staat dat de mailadressen worden gecontroleerd, en dat vervolgens niet gebeurt, dan ligt de fout bij PHPMailer. Ik weet niet of het hier om fout gebruik gaat, of om een bug in de software.

Jan Graneker

30-12-2016 09:42

Ik installeer zelf PHPmailer los (dus handmatig) niet i.c.m. een CMS. Wat zijn de veranderen precies?
Wanneer ik namelijk de nieuwste map op de server krijg ik een whitepage. Wie heeft hier meer informatie over?

- Ariën -

30-12-2016 09:55

Logfiles even bekijken omdat je errors misschien uitstaan?

Reageren

Inloggen om te reageren