PHP

Kritisk sårbarhet funnet i svært utbredt PHP-klasse

Sårbarheten i den mye brukte PHPMailer-klassen kan gjøre det mulig for ondsinnede å fjerninstallere bakdører i webapplikasjoner som benytter klassen til epostutsending.
Sårbarheten i den mye brukte PHPMailer-klassen kan gjøre det mulig for ondsinnede å fjerninstallere bakdører i webapplikasjoner som benytter klassen til epostutsending. Bilde: Flickr/Jeremy Brooks (CC BY-NC 2.0)
Harald BrombachHarald BrombachNyhetsleder
28. des. 2016 - 12:46

Den uavhengige sikkerhetsforskeren Dawid Golunski offentliggjorde i går noen detaljer om en alvorlig sårbarhet i det som kan være den mest brukte PHP-klassen for epostutsendelser, PHPMailer.

Mulighet for bakdør

Ifølge Golunski kan sårbarheten utnyttes til å fjernkjøre vilkårlig kode i konteksten til webserverbrukeren og kompromittere webapplikasjoner ved for eksempel å opprette en bakdør.

Utnyttelse av sårbarheten kan potensielt gjøres via skjemaer og kode som fører til at det blir sendt epost via PHPMailer, for eksempel skjemaer for brukerregistrering eller passord-resetting. 

På grunn av manglende «escaping» av visse inndata, kan det være mulig å få serverens sendmail-daemon til lage en loggfil med vilkårlig PHP-kode. 

Golunski har bare i begrenset grad omtalt hvordan utnyttelse av sårbarheten kan gjøres i praksis, men ifølge BleepingComputer har andre allerede offentliggjort angrepskode. 

PHPMailer-prosjektet skal ha blitt varslet av Golunski om sårbarheten tidligere i desember og kom raskt med en oppdatering, 5.2.17, som skulle fjerne sårbarheten. Dessverre viste det seg at denne sikkerhetsfiksen ikke var tilstrekkelig. 

Heller ikke de nyere 5.2.18- og 5.2.19-versjonene skal løse problemet. Derfor er det tidligst versjon 5.2.20 som vil fjerne hele sårbarheten som Golunski har funnet. Det er derfor han nå ha gått ut med informasjon om sårbarheten.

Tidligere funn: Kritisk MySQL-sårbarhet har blitt avslørt

Millioner av brukere

Ifølge prosjektet selv, benyttes PHPMailer av en rekke andre åpen kildekode-prosjekter, som WordPress, Drupal, 1CRM, SugarCRM, Yii og Joomla. Men dette er kanskje det minste problemet, siden dette er løsninger som har rutiner for å rulle ut slike oppdateringer. 

PHPMailer tilbys også via pakkebrønner til flere Linux-distribusjoner. Men dersom serveradministratoren oppdaterer disse jevnlig, vil også PHPMailer bli oppdatert. 

Men mange utviklere av mer lokale webprosjekter har trolig kopiert PHPMailer-koden direkte inn i sitt eget eller kundens prosjekt, noe som betyr at de til enhver tid manuelt må sørge for at koden holdes oppdatert. 

Leste du denne? – Nesten halvparten av nettstedene er risikable å besøke

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.