Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Nog geen patch voor extreem kritisch lek in PHPmailer

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 4 januari 2017 08:00 uur

De bug zelf werd al voor de kerst openbaar gemaakt: via contactformulieren die met PHPmailer werken, is het mogelijk om websites over te nemen. PHPmailer wordt als plugin in vrijwel alle grote contentmanagementsystemen gebruikt, waaronder WordPress, Drupal en Joomla. Volgens Dawid Golunski van Legal Hackers zijn alle versies voor PHPmailer 5.2.18 kwetsbaar. Een slordige schatting levert op dat ruim 9 miljoen websites vrij eenvoudig via een command shell in het contactformulier gehackt kunnen worden.

Direct na de kerstdagen werd een patch gepubliceerd die het lek moest dichten. Volgens Golunski is die patch echter eenvoudig te omzeilen en is het lek nog steeds te gebruiken via Remote Code Execution. “Er is geen patch beschikbaar op dit moment. Alle PHPmailer versies zijn kwetsbaar. Terug bij af”, schrijft hij op Threatpost.

De reacties van de CMS-leveranciers zelf zijn tamelijk opvallend. Die reacties zijn van het type ‘we waarschuwen, maar het is niet ons probleem’. Drupal meldt dat letterlijk: “Drupal geeft in het algemeen geen adviezen met betrekking tot het gebruik van software van derde partijen”. PHPmailer is geen onderdeel van het CMS zelf. Toch publiceren Drupal en WordPress wel waarschuwingen omdat het hier om een ‘extreem kritisch lek’ gaat. Joomla heeft niet officieel gereageerd, al schrijft The Register wel dat het volgens ontwikkelaars niet mogelijk is om de core API van het CMS op deze manier te benaderen.

ManagedWPHosting, 4 januari 2017 1:31 pm

PHPMailer 5.2.21 is bij mijn weten gewoon secure en al uit voor het schrijven van het artikel op ispam:
https://github.com/PHPMailer/PHPMailer/releases

PHPMailer wordt inderdaad meegescheept met WordPress.
WP 4.7 is nog vatbaar. Wij hebben daarom preventief PHPMailer voor onze klanten geupdate naar 5.2.21
In WP 4.7.1 zal de laatste versie gewoon beschikbaar zijn.

Bas Grutjes, 5 januari 2017 7:25 pm

Wat is dit nu voor een nepnieuws? Je verwijst naar een interview met Dawid Golunski op Threatpost, maar in het laatste artikel (alweer van vorig jaar) zegt hij juist dat de boel gepatcht is.
Niet fijn dit, er is al paniek genoeg om niks geweest, na de rare actie van Patchman die de klanten van talloze hosters een ontiegelijk vage mail stuurde (dat ze moesten updaten, terwijl dat toen nog helemaal niet kon) Terwijl de meesten van hen wordpress gebruiken zonder phpmailer daarbij te gebruiken, en dus niet kwetsbaar waren (dat was je alleen als een plugin phpmailer in plaats van de normale wordpress mail functie gebruikte.)

Intussen dus allemaal al lang opgelost.

https://threatpost.com/tag/dawid-golunski/

Jeroen Mulder, 5 januari 2017 8:01 pm

Dit gaat om een recente melding. Zie ook https://www.drupal.org/psa-2016-004 en http://m.theregister.co.uk/2017/01/03/hate_contact_us_forms_use_this_phpmailer_zero_day_to_drop_your_shell_in_sender/

Marin, 8 januari 2017 12:20 pm

Volgens mij stuurt patchman niet zomaar mails naar je klanten.. Ligt echt aan je eigen beleid.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.