Neues aus dem Wir-werden-alle-sterben-Land. Der weit verbreitete PHPMailer ist unsicher, hieß es nun. Eine Remote-Code-Execution-Lücke wurde bekannt. Und wenn ich mich so umschaue, dann ist hier gewaltiges Rumoren unter den Webseiten-Betreibern aufgetreten. Das ist natürlich alles ganz schlimm, was Dawid Golunski jüngst veröffentlicht hatte. Aber wird können uns eigentlich auch wieder schlafen legen.
Mit einem Fehler im PHPMailer ist es möglich, dass die Absenderdaten, die in einem Webformular eingetragen wurden, ohne weitere Prüfung an den Mailer Sendmail weitergegeben werden können. In diesen Aufruf kann ein Angreifer Code einfügen, der dann mit den Rechten des Nutzers des Webservers ausgeführt werden kann. Es handelt sich explizit um „contact/feedback forms, registration forms, password email resets and others that send out emails„. Also Kontaktformulare, Registrierungsformulare, Emails zum Passwort-Reset und so weiter und so fort. All das geht über den PHPMailer.
Wir können aber ganz beruhigt sein. Denn dieses Problem betrifft die Versionen vor Version 5.2.18 des PHPMailers. Wer seine Installationen auf dem aktuellen Stand hat, wird dieses Problem nicht feststellen. Allerdings muss man dann doch hellhörig werden, da der Mailer von unzähligen Plugins und Themes eingesetzt wird. Und zwar bei WordPress, Joomla, Drupal und so weiter und so fort. Unterm Strich heißt das dann doch irgendwie, dass es nicht reichen wird, dass Webmaster ihre Projekte aktuell halten.
Fürs Erste könnte man die Plugins deaktivieren, die irgendwas mit Email-Versand machen. Aber es muss auch generell darüber nachgedacht werden, ob man denn alles mögliche über den PHPMailer abwickeln muss. Wie gesagt: Der aktuelle PHPMailer, der zum Beispiel mit jedem WordPress-Update aktualisiert wird, weist dieses Problem nicht auf, weil er es umgeht. Das beruhigt. Aber wie soll man zukünftig mit diesem Email-Dingens umgehen?
Jetzt soll es erst einmal eine Machbarkeitsstudie geben, was in Zukunft mit dem PHPMailer geschehen soll. Denn es wird wohl noch eine Weile so sein, dass ein Angreifer folgendes Adress-Format verwenden kann:
"attacker -param1 -param2 -param3"@domain.com
In einem Proof of Concept soll nun die Machbarkeit untersucht werden, wie es erreichen kann, dass diese Möglichkeit gar nicht mehr besteht. Der aktuelle PHPMailer umgeht das Problem. Aber wie soll es zukünftig weitergehen?