Inoffizielles PHPMailer Sicherheitsupdate v2 für Joomla 3.6.5

Inoffizielles PHPMailer Sicherheitsupdate v2 für Joomla 3.6.5

Update (09.05.17 / 10:10)

Joomla 3.7 ist bereits verfügbar und behebt die Schwachstelle.

Alle weiteren Informationen finden Sie in den Release News von Joomla 3.7.

——

Update (28.12.16 / 22:00)

Die PHPMailer-Entwickler haben erneut einen Patch für Ihre Bibliothek veröffentlicht, da eine weitere Möglichkeit (CVE-2016-10045) entdeckt wurde die Sicherheitslücke auszunutzen. Diese Lücke ist mit Version 5.2.20 behoben.

Laut dem Joomla-Entwicklerteam ist die Joomla-Basisinstallation weiterhin nicht davon betroffen. Da die verwundbare PHPMailer Version in Joomla 3.6.5 enthalten ist, besteht jedoch die Möglichkeit, dass die Lücke über Drittanbieter-Erweiterungen ausgenutzt werden könnte. Wir haben das inoffizielle Sicherheitsupdate für Joomla 3.6.5 mit der derzeit aktuellen PHPMailer Version 5.2.21 im Beitrag aktualisiert.

Ein offizielles Update wird es voraussichtlich erst mit Joomla 3.7 geben. Bitte lesen Sie die Hinweise im Hauptbeitrag, bevor Sie das Update einspielen.

——

Update (27.12.16 / 04:50)

Das Joomla Entwicklerteam hat für „einfache“ Joomla Installationen Entwarnung gegeben. Durch weitere Mechanismen wird verhindert, dass die Lücke effektiv ausgenutzt werden kann. Allerdings ist dies keine generelle Entwarnung, da Joomla Erweiterungen, welche nicht korrekt die Joomla API nutzen oder ihre eigene Version vom verwundbaren PHPMailer mitbringen weiterhin angreifbar sind. Joomla liefert die betroffene PHPMailer Bibliothek in Joomla 1.6.0 bis 3.6.5 aus.

——

Hauptbeitrag

In PHPMailer einschließlich Version 5.2.19 existiert eine kritische Sicherheitslücke, welche die Kennung CVE-2016-10033, sowie CVE-2016-10045 erhalten hat.

PHPMailer ist eine Bibliothek, welche häufig zum Versand von E-Mails in einigen Webanwendungen verwendet wird. Hierzu zählt auch Joomla in der aktuellen Version 3.6.5, welches PHPMailer 5.2.16 einsetzt.

Die aktuelle Version von PHPMailer (derzeit v5.2.21) kann auf Github bezogen werden. Falls Sie die Dateien manuell austauschen möchten, erstellen Sie in jeden Fall ein Backup und prüfen Sie ob diese Version kompatibel mit Ihrer Webanwendung ist.

Für Joomla 3.6.5 haben wir ein inoffizielles Sicherheitsupdate erstellt, welches nur die in der Version 3.6.5 enthaltenen Dateien der Bibliothek enthält. Dieses Update muss entpackt werden und der darin enthaltene Ordner „phpmailer“ manuell (z.B. via FTP oder SSH) in den Ordner:

Joomla-Installationsort/libraries/vendor/phpmailer

hochgeladen werden. Beachten Sie bitte, dass in diesem Ordner ein weiterer Ordner, ebenfalls mit dem Namen „phpmailer“ vorhanden sein sollte. Dies ist der Ordner, welchen es zu überschreiben gilt. Vorhandene Dateien müssen dabei ersetzt werden.

Download: Bitte updaten Sie auf Joomla 3.7
(MD5: 0e71f0d72958fb39ef03291d7caa2e5a)

Die Installation erfolgt auf eigenes Risiko und ist nur als Überbrückung bis zur Veröffentlichung des offiziellen Update gedacht.

Sie sollten mit dem Austausch von Dateien auf Ihrem Webserver vertraut sein. Wir empfehlen das offizielle Joomla Update einzuspielen sobald es verfügbar ist. Auf unseren betriebenen Joomla 3.6.5 Installationen konnten wir in der Kürze keine Einschränkungen nach der Installation feststellen. Dies stellt jedoch keine allgemeingültige Garantie dar und Sie sollten in jedem Fall Backups anlegen.

Hinweise für WordPress-Installationen:

In WordPress ist die verwundbare Datei „class.phpmailer.php“ im Ordner „WordPress-Installationsort/wp-includes“ unter dem Dateinamen „class-phpmailer.php“ zu finden. Bitte vor dem manuellen Austausch beachten und die Datei vor dem Upload entsprechend umbenennen.

News Quellen: Golem.de, Legal Hackers

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.