Lek in phpmailer
http://nu.nl/internet/4371379/miljoenen-websites-kwetsbaar-bug-in-mailformulieren.html (via @NUnl)
Toevoeging op 28/12/2016 09:08:23:
Zou het echt zo erg zijn als beweerd wordt? De media kan het nog al eens opblazen
'Miljoenen websites kwetsbaar door bug in mailformulieren' Toevoeging op 28/12/2016 09:08:23:
Zou het echt zo erg zijn als beweerd wordt? De media kan het nog al eens opblazen
Quote:
PHPMailer controleert volgens Golunski niet of een e-mailadres gebruikt in een formulier klopt. Dit stelt bijvoorbeeld hackers via een omweg in staat om hun eigen code uit te voeren op de server van een site.
Het lek is naar mijn idee blijkbaar dus alleen te misbruiken als er geen server-side invoervalidatie in je eigen site gebouwd zit, om een e-mail adres te controleren. Ik denk dat de meeste sites hier wel aan voldoen.
Verder moet ik nog even kijken naar dat stukje code waar een mailadres wordt gebruikt, voordat ik meer kan zeggen. ;-)
http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
Phpmailer:
https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md
Updaten dus :)
Edit: je moet wel updaten naar 5.2.20 ( deze is op het moment van schrijven nog niet uit ).
Edit: https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html
Gewijzigd op 28/12/2016 11:51:18 door E vH
Quote:
Edit: je moet wel updaten naar 5.2.20 ( deze is op het moment van schrijven nog niet uit ).
Dus updaten naar een nog niet bestaande versie Elmar?
Er was een fix gemeld; 5.2.19, maar er kwam al vrij snel naar voren dat het in 5.2.20 opgelost zou moeten worden..omdat het in 5.2.19 achterhaalt was.
Dus ja, je moet inderdaad updaten naar een niet bestaande versie :P
Maar de media blaast het gigantisch op.
Een normale webmaster kan heus wel degelijke controle inbouwen (een paar regels extra http://www.w3schools.com/php/filter_validate_email.asp)
Als men er achter komt dat de media zich weer eens te los laat, vergeten we dit allemaal zeer spoedig.
Koen Hollander op 28/12/2016 23:49:17:
Maar de media blaast het gigantisch op.
De media weet af en toe van toeten noch blazen als het over technische onderwerpen gaat. Je zou dit voorval zelfs kunnen gebruiken om te "bewijzen" dat open source niet veilig zou zijn. Terwijl het de programmeurs zijn die lopen te prutsen. Er is weinig opgewassen tegen een verkeerd gebruik van software.
Ik heb PHPMailer nog nooit gebruikt ... maar of je het verkeerd gebruikt hangt met name af van de beoogde werking van het product. Als bijv. in de documentatie van PHPMailer staat dat de mailadressen worden gecontroleerd, en dat vervolgens niet gebeurt, dan ligt de fout bij PHPMailer. Ik weet niet of het hier om fout gebruik gaat, of om een bug in de software.
Wanneer ik namelijk de nieuwste map op de server krijg ik een whitepage. Wie heeft hier meer informatie over?
Logfiles even bekijken omdat je errors misschien uitstaan?