Way better content editing

WBCE CMS Blog

PHPmailer: Nochmaliges Update erforderlich

Florian Meerwinck, 27.12.2016

In dem populären Script PHPmailer, das auch von WBCE verwendet wird, wurde eine Sicherheitslücke entdeckt. Es ist daher dringend erforderlich, so schnell wie möglich den bei ALLEN WBCE- (und WB-)Versionen mitgelieferten PHPmailer zu aktualisieren.

Dazu bitte  patch-phpmailer-161228.zip herunterladen, lokal entpacken und nach /include/phpmailer kopieren. Vorhandene Dateien müssen überschrieben werden.
Das ganze ist eine Sache von wenigen Sekunden. Seiteneffekte sind nicht zu erwarten.

Auch wenn WBCE weder diese Sicherheitslücke, noch den ungünstigen Zeitpunkt der Offenlegung zu verantworten hat, bitte ich um Entschuldigung für die entstehenden Umstände.

UPDATE 28.12.2016: Wie soeben bekannt wurde, ist die Sicherheitslücke erst mit der Version 5.2.20 des PHPmailers behoben worden, die heute veröffentlicht wurde. Leider muss also eine nochmalige Aktualisierung erfolgen. Danke an André für den Hinweis (siehe Kommentar unten).

 

Hintergründe auf pwnscriptum

 

Zurück

Kommentare

28.12.2016

André

Hallo WBCE-Community,

im o.g. Patch ist derzeit PHPmailer in Version 5.2.19 enthalten, welche die Schwachstelle eigentlich beheben sollte. Laut https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html im Abschnitt "VIII. SOLUTION" gibt es jedoch den Hinweis, dass auch die neue Version 5.2.19 die Schwachstelle weiterhin enthält. Demnach wird die Lücke erst in 5.2.20 geschlossen.

Ich zitiere:
"UPDATE: The author of this advisory published a bypass of the current solution/fix which makes the PHPMailer vulnerable again in versions

28.12.2016

Colinax

Hallo Andre, die Version welche in der 161228.zip enthalten ist ist die genannte Version 5.2.20.

Der Entwickler hat vergessen die Versionsdatei zu aktualisieren (und hat kurz darauf die korrigierte Version 5.2.21 veröffentlicht) siehe:
https://github.com/PHPMailer/PHPMailer/releases

28.12.2016

florian

Siehe zum Versionswirrwarr
https://forum.wbce.org/viewtopic.php?pid=7750#p7750

Kommentar

email address:
Homepage:
URL:
Comment:

Name:

E-Mail (required, not public):

Website:

Kommentar :

Prüfziffer:
 =  Bitte Ergebnis eintragen