2018-2403: PHPMailer: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-11-23 14:50)

Neues Advisory

Version 2 (2018-12-28 10:21)

Debian stellt für Jessie (LTS) ein aktualisiertes 'libphp-phpmailer'-Paket zur Verfügung, da das zuvor mittels der Meldung DLA 1591-1 angekündigte Sicherheitsupdate eventuell eine Regression eingeführt hat. Durch die Implementierung von Backports wurde versehentlich eine neue Variable einer späteren Version eingeführt. Das aktualisierte Paket korrigiert diesen Fehler.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in PHPMailer ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen oder Informationen auszuspähen.

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'libphp-phpmailer' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2017-5223

Schwachstelle in PHPMailer ermöglicht Ausspähen von Informationen

CVE-2018-19296

Schwachstelle in PHPMailer ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.