2018-2357: PHPMailer: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-11-19 15:28)

Neues Advisory

Version 2 (2018-12-10 12:52)

Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate für 'libphp-phpmailer' zur Behebung der Schwachstelle zur Verfügung.

Version 3 (2019-06-13 12:43)

Nagios veröffentlicht Nagios XI 5.6.3 und aktualisiert die darin enthaltene Version von PHPMailer auf Version 5.2.27. Damit wird zumindest auch die hier referenzierte Schwachstelle behoben.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer, der in der Lage ist über PHPMailer Emails mit Anhängen zu versenden, kann Sicherheitsvorkehrungen umgehen und durch das Injizieren von PHP-Objekten beliebigen Programmcode zur Ausführung bringen.

Der Hersteller bestätigt die Schwachstelle und stellt die offiziellen Releases 5.2.27 und 6.0.6 als Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Es wird darauf hingewiesen, dass die offizielle Unterstützung für den Versionszweig 5.2 am 31.12.2018 endet.

Für Fedora 27, 28 und 29 sowie Fedora EPEL 6 und 7 stehen Sicherheitsupdates für PHPMailer auf Version 5.2.27 im Status 'testing' bereit. Für Fedora 27, 28 und 29 stehen zusätzlich Sicherheitsupdates für PHPMailer auf Version 6.0.6 ebenfalls im Status 'testing' bereit.

Schwachstellen:

CVE-2018-19296

Schwachstelle in PHPMailer ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.