ClickCease Sept vulnérabilités de PHPmailer corrigées dans Ubuntu

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Sept vulnérabilités de PHPmailer corrigées dans Ubuntu

Rohan Timalsina

Le 13 mars 2024 - L'équipe d'experts de TuxCare

Dans le domaine du développement web, il est essentiel de s'assurer que nos applications sont sécurisées. Récemment, l'équipe de sécurité d'Ubuntu a corrigé un certain nombre de vulnérabilités dans PHPMailer, une classe de transfert de courrier électronique largement utilisée pour PHP. Ces vulnérabilités pourraient potentiellement ouvrir la porte à des attaques malveillantes, y compris le cross-site scripting (XSS) et l'exécution de code arbitraire. Entrons dans les détails de ces vulnérabilités et des mesures prises pour y remédier.

 

Aperçu des vulnérabilités de PHPmailer

 

CVE-2016-10033, CVE-2016-10045

Dawid Golunski a découvert que PHPMailer était susceptible d'exécuter du code arbitraire en raison d'une mauvaise gestion des données d'entrée de l'utilisateur utilisées comme arguments dans les fonctions exécutées par le shell du système. Bien que ce problème ne concerne que Ubuntu 16.04 ESM, son impact potentiel est important.

 

CVE-2017-11503

Cette vulnérabilité, identifiée par un oubli dans l'échappement des caractères dans des champs spécifiques du code d'exemple code_generator.php, ouvrait la voie à des attaques de type cross-site scripting (XSS). Ce problème n'a été corrigé que dans Ubuntu 16.04 et Ubuntu 18.04.

 

CVE-2017-5223

La découverte de Yongxiang Li a mis en évidence l'incapacité de PHPMailer à convertir correctement les chemins relatifs fournis par l'utilisateur lorsqu'il joint des fichiers aux messages. L'exploitation de cette faille peut conduire à un accès non autorisé et à l'exposition d'informations sensibles, impactant exclusivement Ubuntu 16.04 ESM.

 

CVE-2018-19296

La découverte de Sehun Oh a mis en évidence l'inadéquation de PHPMailer dans le traitement des pièces jointes non locales non fiables, ce qui peut conduire à l'injection d'objets et à l'exécution de code arbitraire. Encore une fois, cette vulnérabilité de PHPmailer n'affecte que Ubuntu 16.04 et pourrait être utilisée pour exécuter du code arbitraire.

 

CVE-2020-13625

La découverte d'Elar Lang a mis en évidence la négligence de PHPMailer dans l'échappement des noms de pièces jointes, ce qui pose un risque de mauvaise interprétation par les entités qui traitent le message. Ce problème, qui affecte Ubuntu 16.04 et Ubuntu 20.04, a mis en évidence l'importance de protocoles rigoureux de traitement des pièces jointes.

 

CVE-2021-3603

La dernière vulnérabilité, mise en évidence par une omission dans la gestion par PHPMailer des callables dans sa fonction validateAddress, a suscité des inquiétudes quant à l'exécution potentielle d'un code non fiable. Ce problème, résolu dans Ubuntu 20.04 et Ubuntu 22.04, a mis en évidence la nature évolutive des menaces de sécurité.

 

Efforts d'atténuation

 

Après la découverte de ces vulnérabilités PHPmailer, l'équipe de sécurité d'Ubuntu a rapidement réagi en publiant des mises à jour de sécurité. Ces mises à jour étaient destinées aux versions Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM et Ubuntu 16.04 ESM, afin que les utilisateurs puissent rapidement corriger leurs systèmes et atténuer les risques associés. Bien que les vulnérabilités de Linux puissent faire surface, des mesures proactives, telles que l'application rapide de correctifs, sont essentielles pour protéger nos écosystèmes numériques contre les menaces potentielles.

Les mises à jour de sécurité pour Ubuntu 16.04 et Ubuntu 18.04 ne sont disponibles qu'avec Ubuntu Pro. Alternativement, vous pouvez utiliser l'Extended Lifecycle Support de TuxCare pour recevoir des correctifs de sécurité de qualité et protéger vos systèmes Ubuntu en fin de vie. Découvrez comment l'Extended Lifecycle Support maintient la sécurité et la conformité des systèmes d'exploitation Linux en fin de vie.

 

Source : USN-5956-1

Résumé
Sept vulnérabilités de PHPmailer corrigées dans Ubuntu
Nom de l'article
Sept vulnérabilités de PHPmailer corrigées dans Ubuntu
Description
Découvrez les vulnérabilités de PHPMailer affectant les versions Ubuntu, qui pourraient conduire à des attaques XSS et à l'exécution de code arbitraire.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information