robinkoch 0 Geplaatst 29 december 2016 Hallo iedereen, EDIT Inmiddels heeft Wordpress een update uitgebracht (4.7.1). Deze update patched het lek in PHPMailer. Zorg ervoor dat je Wordpress up-to-date is, dan zal er niets kunnen gebeuren. Link naar changelog: https://make.wordpress.org/core/2017/01/06/upcoming-wordpress-4-7-1-release/ Onderstaande informatie is nu achterhaald en ik raad je aan om deze adviezen niet meer op te volgen. Klik om de spoiler te openen Zoals je misschien wel hebt gehoord zit er een groot beveiligingslek in PHPMailer. PHPMailer wordt ook gebruikt voor Wordpress. Als je deze security issue wilt oplossen kan je onderstaande patch gebruiken. https://core.trac.wordpress.org/ticket/37210 Link naar de exploit: https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html Meer uitleg over de exploit vind je hier: https://threatpost.com/phpmailer-bug-leaves-millions-of-websites-open-to-attack/122775/ Loopt mijn site gevaar? Nog niet direct, er is momenteel nog niet bekend gemaakt hoe dit exploit kan worden misbruikt in Wordpress. Dit zal echter op zijn tijd wel openbaar worden gemaakt dus het is belangrijk dat je dit lek dicht. Hoe dicht ik dit lek? Het dichten van dit lek is niet lastig. Gebruik bovenstaande patch of wacht tot Wordpress een security update uit brengt en installeer deze (in veel gevallen installeerd Wordpress dit zelf) Daarnaast is het ook handig om al je plugins met regelmaat te updaten. Veel contact plugins gebruiken PHPMailer om e-mails mee te versturen. Hiervoor ben je uiteraard afhankelijk van de plugin maker. Overige tips Bekijk je plugin lijst en kijk welke plugins niet meer worden geupdate, als dit het geval is zoek dan een alternatief op hiervoor. Plugins die niet meer worden bijgewerkt kunnen een beveiligingsrisico vormen. Niet perse voor deze exploit maar wel voor andere. Ik hoop dat jullie hier iets mee kunnen. Groetjes, Robin Deel dit bericht Link naar bericht Delen op andere sites
stef 1 Geplaatst 29 december 2016 Oh, bedankt! Wat houdt het lek precies in? Deel dit bericht Link naar bericht Delen op andere sites
Dylan 1 Geplaatst 29 december 2016 Stef (link): Oh, bedankt! Wat houdt het lek precies in? https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html Deel dit bericht Link naar bericht Delen op andere sites
Rik 5 Geplaatst 30 december 2016 Stef (link): Oh, bedankt! Wat houdt het lek precies in? TLDR van Dylan: In hele bijzondere gevallen, wanneer je user input niet goed zou sanitazen en die toevallig in de $params array van de php mail functie terecht zou komen, zou je een shell kunnen uploaded op de server, omdat deze parameters meegegeven worden aan het onderliggende mail programma wat php gebruikt. in het geval van PHPMailer gebeurd dit door een malafide email in de SetFrom() te gebruiken Deel dit bericht Link naar bericht Delen op andere sites
robinkoch 0 Geplaatst 30 december 2016 Stef (link): Oh, bedankt! Wat houdt het lek precies in? Lees de starterspost, deze is inmiddels uitgebreid met meer informatie hierover. Dylan (link): Klik om eerdere quotes te tonen Stef (link): Oh, bedankt! Wat houdt het lek precies in?[/quote https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html Bedankt, informatie is inmiddels toegevoegd aan de starterspost. Klik om eerdere quotes te tonen Rik (link): Stef (link): Oh, bedankt! Wat houdt het lek precies in? TLDR van Dylan: In hele bijzondere gevallen, wanneer je user input niet goed zou sanitazen en die toevallig in de $params array van de php mail functie terecht zou komen, zou je een shell kunnen uploaded op de server, omdat deze parameters meegegeven worden aan het onderliggende mail programma wat php gebruikt. in het geval van PHPMailer gebeurd dit door een malafide email in de SetFrom() te gebruiken Thanks voor de uitleg! Deel dit bericht Link naar bericht Delen op andere sites
stef 1 Geplaatst 30 december 2016 Rik (link): Klik om eerdere quotes te tonen Stef (link): Oh, bedankt! Wat houdt het lek precies in? TLDR van Dylan: In hele bijzondere gevallen, wanneer je user input niet goed zou sanitazen en die toevallig in de $params array van de php mail functie terecht zou komen, zou je een shell kunnen uploaded op de server, omdat deze parameters meegegeven worden aan het onderliggende mail programma wat php gebruikt. in het geval van PHPMailer gebeurd dit door een malafide email in de SetFrom() te gebruiken Maar dit is dus alleen wanneer je de gebruiker laat bepalen vanaf welk email adres de mail verzonden moet worden. Wat je in de meeste gevallen dus niet laat doen door een gebruiker ? Deel dit bericht Link naar bericht Delen op andere sites
robinkoch 0 Geplaatst 30 december 2016 Stef (link): Klik om eerdere quotes te tonen Rik (link): Stef (link): Oh, bedankt! Wat houdt het lek precies in? TLDR van Dylan: In hele bijzondere gevallen, wanneer je user input niet goed zou sanitazen en die toevallig in de $params array van de php mail functie terecht zou komen, zou je een shell kunnen uploaded op de server, omdat deze parameters meegegeven worden aan het onderliggende mail programma wat php gebruikt. in het geval van PHPMailer gebeurd dit door een malafide email in de SetFrom() te gebruiken Maar dit is dus alleen wanneer je de gebruiker laat bepalen vanaf welk email adres de mail verzonden moet worden. Wat je in de meeste gevallen dus niet laat doen door een gebruiker ? Volgensmij gebeurt dit heel vaak, meer dat als er een mail naar de web eigenaar wordt gestuurd (bijvoorbeeld aanmeldformulier) dan komt deze af van het e-mail adress van het e-mail dat de bezoeker heeft ingevuld.... Daarnaast heeft de hackersgroep die dit naar buiten heeft gebracht ook een exploit voor een veel gebruikt CMS (waarschijnlijk Wordpress). Als ze ergens iets vinden om via Wordpress dit uit te kunnen voeren dan ben je te laat... Hoe dan ook, ik zou er maar voor zorgen dat je site up-to-date is zodat je zo min mogelijk risico loopt op een hack. Deel dit bericht Link naar bericht Delen op andere sites
stef 1 Geplaatst 30 december 2016 Robinkoch (link): Klik om eerdere quotes te tonen Stef (link): Rik (link): Stef (link): Oh, bedankt! Wat houdt het lek precies in? TLDR van Dylan: In hele bijzondere gevallen, wanneer je user input niet goed zou sanitazen en die toevallig in de $params array van de php mail functie terecht zou komen, zou je een shell kunnen uploaded op de server, omdat deze parameters meegegeven worden aan het onderliggende mail programma wat php gebruikt. in het geval van PHPMailer gebeurd dit door een malafide email in de SetFrom() te gebruiken Maar dit is dus alleen wanneer je de gebruiker laat bepalen vanaf welk email adres de mail verzonden moet worden. Wat je in de meeste gevallen dus niet laat doen door een gebruiker ? Volgensmij gebeurt dit heel vaak, meer dat als er een mail naar de web eigenaar wordt gestuurd (bijvoorbeeld aanmeldformulier) dan komt deze af van het e-mail adress van het e-mail dat de bezoeker heeft ingevuld.... Daarnaast heeft de hackersgroep die dit naar buiten heeft gebracht ook een exploit voor een veel gebruikt CMS (waarschijnlijk Wordpress). Als ze ergens iets vinden om via Wordpress dit uit te kunnen voeren dan ben je te laat... Hoe dan ook, ik zou er maar voor zorgen dat je site up-to-date is zodat je zo min mogelijk risico loopt op een hack. Wanneer je een email verstuurt met als afzender het email adres van de gebruiker komt die vaak in de spam terecht. Tenzij je gaat vragen om de SMTP gegevens van de gebruiker Maar natuurlijk slim om het up to date te houden. Deel dit bericht Link naar bericht Delen op andere sites
robinkoch 0 Geplaatst 10 januari 2017 Inmiddels is er een security update uitgebracht voor Wordpress. Bekijk de starters post voor meer informatie. Deel dit bericht Link naar bericht Delen op andere sites
aarclay 3 Geplaatst 10 januari 2017 Wordt die al via het update-systeem al vrijgegeven? Op mijn test-systeem zie ik niks verschijnen. Deel dit bericht Link naar bericht Delen op andere sites
robinkoch 0 Geplaatst 11 januari 2017 Aarclay (link): Wordt die al via het update-systeem al vrijgegeven? Op mijn test-systeem zie ik niks verschijnen. Volgens Wordpress staat de update gepland voor vandaag (11-01-2017). Als het goed is zal deze vandaag of eerdaags verschijnen via het update-systeem. Deel dit bericht Link naar bericht Delen op andere sites