Ga naar inhoud
Log in om dit te volgen  
robinkoch

Beveiligingslek PHPMailer

Aanbevolen berichten

Hallo iedereen,

EDIT
Inmiddels heeft Wordpress een update uitgebracht (4.7.1). Deze update patched het lek in PHPMailer. Zorg ervoor dat je Wordpress up-to-date is, dan zal er niets kunnen gebeuren.

Link naar changelog: https://make.wordpress.org/core/2017/01/06/upcoming-wordpress-4-7-1-release/

Onderstaande informatie is nu achterhaald en ik raad je aan om deze adviezen niet meer op te volgen.

Klik om de spoiler te openen


Overige tips
Bekijk je plugin lijst en kijk welke plugins niet meer worden geupdate, als dit het geval is zoek dan een alternatief op hiervoor. Plugins die niet meer worden bijgewerkt kunnen een beveiligingsrisico vormen. Niet perse voor deze exploit maar wel voor andere.


Ik hoop dat jullie hier iets mee kunnen.
Groetjes,
Robin

Deel dit bericht


Link naar bericht
Delen op andere sites
Stef (link):
Oh, bedankt!
Wat houdt het lek precies in?


TLDR van Dylan:

In hele bijzondere gevallen, wanneer je user input niet goed zou sanitazen en die toevallig in de $params array van de php mail functie terecht zou komen, zou je een shell kunnen uploaded op de server, omdat deze parameters meegegeven worden aan het onderliggende mail programma wat php gebruikt.

in het geval van PHPMailer gebeurd dit door een malafide email in de SetFrom() te gebruiken

Deel dit bericht


Link naar bericht
Delen op andere sites
Stef (link):
Oh, bedankt!
Wat houdt het lek precies in?

Lees de starterspost, deze is inmiddels uitgebreid met meer informatie hierover.

Dylan (link):
Klik om eerdere quotes te tonen

Bedankt, informatie is inmiddels toegevoegd aan de starterspost.



Klik om eerdere quotes te tonen


Thanks voor de uitleg!

Deel dit bericht


Link naar bericht
Delen op andere sites
Rik (link):
Klik om eerdere quotes te tonen


TLDR van Dylan:

In hele bijzondere gevallen, wanneer je user input niet goed zou sanitazen en die toevallig in de $params array van de php mail functie terecht zou komen, zou je een shell kunnen uploaded op de server, omdat deze parameters meegegeven worden aan het onderliggende mail programma wat php gebruikt.

in het geval van PHPMailer gebeurd dit door een malafide email in de SetFrom() te gebruiken


Maar dit is dus alleen wanneer je de gebruiker laat bepalen vanaf welk email adres de mail verzonden moet worden.
Wat je in de meeste gevallen dus niet laat doen door een gebruiker ?

Deel dit bericht


Link naar bericht
Delen op andere sites
Stef (link):
Klik om eerdere quotes te tonen


Maar dit is dus alleen wanneer je de gebruiker laat bepalen vanaf welk email adres de mail verzonden moet worden.
Wat je in de meeste gevallen dus niet laat doen door een gebruiker ?


Volgensmij gebeurt dit heel vaak, meer dat als er een mail naar de web eigenaar wordt gestuurd (bijvoorbeeld aanmeldformulier) dan komt deze af van het e-mail adress van het e-mail dat de bezoeker heeft ingevuld....

Daarnaast heeft de hackersgroep die dit naar buiten heeft gebracht ook een exploit voor een veel gebruikt CMS (waarschijnlijk Wordpress). Als ze ergens iets vinden om via Wordpress dit uit te kunnen voeren dan ben je te laat...

Hoe dan ook, ik zou er maar voor zorgen dat je site up-to-date is zodat je zo min mogelijk risico loopt op een hack.

Deel dit bericht


Link naar bericht
Delen op andere sites
Robinkoch (link):
Klik om eerdere quotes te tonen


Volgensmij gebeurt dit heel vaak, meer dat als er een mail naar de web eigenaar wordt gestuurd (bijvoorbeeld aanmeldformulier) dan komt deze af van het e-mail adress van het e-mail dat de bezoeker heeft ingevuld....

Daarnaast heeft de hackersgroep die dit naar buiten heeft gebracht ook een exploit voor een veel gebruikt CMS (waarschijnlijk Wordpress). Als ze ergens iets vinden om via Wordpress dit uit te kunnen voeren dan ben je te laat...

Hoe dan ook, ik zou er maar voor zorgen dat je site up-to-date is zodat je zo min mogelijk risico loopt op een hack.


Wanneer je een email verstuurt met als afzender het email adres van de gebruiker komt die vaak in de spam terecht. Tenzij je gaat vragen om de SMTP gegevens van de gebruiker smiley
Maar natuurlijk slim om het up to date te houden.

Deel dit bericht


Link naar bericht
Delen op andere sites
Aarclay (link):
Wordt die al via het update-systeem al vrijgegeven? Op mijn test-systeem zie ik niks verschijnen.


Volgens Wordpress staat de update gepland voor vandaag (11-01-2017). Als het goed is zal deze vandaag of eerdaags verschijnen via het update-systeem.

Deel dit bericht


Link naar bericht
Delen op andere sites

Maak een account aan of log in om te reageren

Je moet lid zijn om een reactie te kunnen achterlaten

Account aanmaken

Maak een account aan in onze gemeenschap. Het is makkelijk!

Registreer een nieuw account

Aanmelden

Ben je al lid? Meld je hier aan.

Nu aanmelden
Log in om dit te volgen  

×