2018-2403: PHPMailer: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-11-23 14:50)
- Neues Advisory
- Version 2 (2018-12-28 10:21)
- Debian stellt für Jessie (LTS) ein aktualisiertes 'libphp-phpmailer'-Paket zur Verfügung, da das zuvor mittels der Meldung DLA 1591-1 angekündigte Sicherheitsupdate eventuell eine Regression eingeführt hat. Durch die Implementierung von Backports wurde versehentlich eine neue Variable einer späteren Version eingeführt. Das aktualisierte Paket korrigiert diesen Fehler.
Betroffene Software
Server
Betroffene Plattformen
Linux
Beschreibung:
Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in PHPMailer ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen oder Informationen auszuspähen.
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'libphp-phpmailer' zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2017-5223
Schwachstelle in PHPMailer ermöglicht Ausspähen von InformationenCVE-2018-19296
Schwachstelle in PHPMailer ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.