Krytyczny błąd w PHPmailer – można wykonać kod w OS

26 grudnia 2016, 21:32 | W biegu | komentarzy 5
Tagi: ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Widać że hack^H^H^H^H^H badacze bezpieczeństwa w Święta mają trochę więcej czasu ;) Tym razem mamy możliwość wykonania kodu w systemie operacyjnym poprzez podatność w popularnej bibliotece PHPmailer:

SECURITY Critical security update for CVE-2016-10033 please update now!

W skrócie, sama biblioteka reklamuje się tak:

Probably the world’s most popular code for sending email from PHP!

Used by many open-source projects: WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla! and many more

Prawdopodobnie żeby wykonać kod trzeba mieć możliwość kontrolowania adresu, z którego mail jest wysyłany  (który w skrócie mówiąc, dalej przesyłany jest do systemu operacyjnego bez odpowiednich walidacji).

Niby duże wymaganie, ale czasem serwisy umożliwiają wpisanie swojego adresu e-mail choćby w formularzach kontaktowych (oczywiście taki mail musi być jeszcze wysyłany i to z wykorzystaniem tej biblioteki, a nie jedynie np. odkładany w bazie danych; całość zależy też od przyjętego sposobu walidacji e-maila).

Błyskawicznie zareagował zespół Drupala – mimo że core systemu nie zawiera PHPmailera, jednak jest to na tyle popularny plugin że w połączeniu z krytycznością – zdecydowano się na publikację ostrzeżenia.

Wśród innych potencjalnych celów wskazuje się też:

  • WordPressa (+ rozmaite pluginy które zawierają w sobie PHPmailera)
  • Mantisa
  • Joomlę

Naszym zdaniem największy chyba problem mogą stanowić popularne pluginy do rozmaitych systemów, gdzie developerzy z dużym prawdopodobieństwem nigdy nie zaktualizują PHPmailera…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. „Discovered by: Dawid Golunski” – brawo.

    Odpowiedz
  2. Janek

    Zony badaczy gotuja barszcz z uszkami to badacze hakuja :p

    Odpowiedz
  3. Odpowiedz
  4. Paweł

    Dla wszystkich szukających zabezpieczenia przed luką w PHPMailerze. Skorzystajcie z aplikacji http://www.ispectio.com – powiadamia o wszelkich zmianach w plikach, które możecie oznaczyć jako wasze lub jako zagrożenie. Możecie skorzystać z darmowego 14-dniowego okresu próbnego, więc w tym czasie wyjdzie już odpowiednia łatka. Jeżeli ktoś lub coś wgra wam exploita to przynajmniej będziecie wiedzieć gdzie się znajduje.

    Odpowiedz

Odpowiedz