Sieben PHPmailer-Schwachstellen in Ubuntu behoben
Im Bereich der Webentwicklung ist es von entscheidender Bedeutung, dass unsere Anwendungen sicher sind. Vor kurzem hat das Ubuntu-Sicherheitsteam eine Reihe von Schwachstellen in PHPMailer, einer weit verbreiteten E-Mail-Übertragungsklasse für PHP, behoben. Diese Schwachstellen könnten bösartigen Angriffen Tür und Tor öffnen, einschließlich Cross-Site-Scripting (XSS) und der Ausführung von beliebigem Code. Sehen wir uns die Details dieser Schwachstellen und die zu ihrer Behebung ergriffenen Maßnahmen genauer an.
Übersicht der PHPmailer-Schwachstellen
CVE-2016-10033, CVE-2016-10045
Dawid Golunski entdeckte, dass PHPMailer aufgrund einer unsachgemäßen Behandlung von Benutzereingabedaten, die als Argumente für Funktionen verwendet werden, die von der System-Shell ausgeführt werden, für die Ausführung von beliebigem Code anfällig ist. Obwohl dieses Problem ausschließlich Ubuntu 16.04 ESM betraf, waren seine potenziellen Auswirkungen erheblich.
CVE-2017-11503
Diese Schwachstelle, die durch ein Versehen beim Escape von Zeichen in bestimmten Feldern des code_generator.php-Beispielcodes identifiziert wurde, ebnete den Weg für Cross-Site-Scripting (XSS)-Angriffe. Dieses Problem wurde nur in Ubuntu 16.04 und Ubuntu 18.04 behoben.
CVE-2017-5223
Die Entdeckung von Yongxiang Li zeigt, dass PHPMailer relative Pfade, die als Benutzereingabe beim Anhängen von Dateien an Nachrichten angegeben werden, nicht angemessen konvertiert. Die Ausnutzung dieser Schwachstelle könnte zu unberechtigtem Zugriff und der Offenlegung sensibler Informationen führen und betrifft ausschließlich Ubuntu 16.04 ESM.
CVE-2018-19296
Sehun Ohs Befund wies auf die Unzulänglichkeit von PHPMailer bei der Verarbeitung nicht vertrauenswürdiger, nicht-lokaler Dateianhänge hin, was zu einer Objektinjektion und anschließender Ausführung von beliebigem Code führen könnte. Auch diese PHPmailer-Schwachstelle betraf nur Ubuntu 16.04 und konnte zur Ausführung von beliebigem Code genutzt werden.
CVE-2020-13625
Die Entdeckung von Elar Lang unterstreicht, dass PHPMailer die Namen von Dateianhängen nicht korrekt umwandelt, was das Risiko einer Fehlinterpretation durch Entitäten birgt, die die Nachricht verarbeiten. Dieses Problem, das Ubuntu 16.04 und Ubuntu 20.04 betraf, machte deutlich, wie wichtig strenge Protokolle für die Behandlung von Anhängen sind.
CVE-2021-3603
Die letzte Schwachstelle, die durch ein Versehen im Umgang mit Callables in der validateAddress-Funktion von PHPMailer aufgedeckt wurde, gab Anlass zur Sorge über die mögliche Ausführung von nicht vertrauenswürdigem Code. Dieses Problem, das in Ubuntu 20.04 und Ubuntu 22.04 behoben wurde, verdeutlicht, dass sich die Sicherheitsbedrohungen ständig weiterentwickeln.
Bemühungen um Schadensbegrenzung
Nach der Entdeckung dieser PHPmailer-Schwachstellen hat das Ubuntu-Sicherheitsteam schnell reagiert und Sicherheitsupdates veröffentlicht. Diese Updates waren für die Versionen Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM bestimmt und stellten sicher, dass die Benutzer ihre Systeme umgehend patchen und die damit verbundenen Risiken minimieren konnten. Auch wenn Schwachstellen in Linux auftauchen können, sind proaktive Maßnahmen wie das rechtzeitige Patchen von entscheidender Bedeutung für den Schutz unserer digitalen Ökosysteme vor potenziellen Bedrohungen.
Sicherheitsupdates für Ubuntu 16.04 und Ubuntu 18.04 sind nur mit Ubuntu Pro erhältlich. Alternativ können Sie den Extended Lifecycle Support von TuxCare nutzen, um Sicherheitspatches in Herstellerqualität zu erhalten und Ihre ausgedienten Ubuntu-Systeme abzusichern. Erfahren Sie, wie Sie mit dem Extended Lifecycle Support die Sicherheit und Compliance von auslaufenden Linux-Betriebssystemen aufrechterhalten.
Quelle: USN-5956-1