Kritinė „PHPmailer“ spraga

2016-12-28

Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) informuoja apie kritinę „PHPmailer“ saugumo spragą.

„PHPmailer“ yra programinė biblioteka, skirta siųsti el. laiškus iš taikomųjų programų, parašytų populiaria PHP programavimo kalba. Pagal vieną iš šaltinių, „PHPmailer“ turi 9 mln. naudotojų. Šią biblioteką naudoja daugybė turinio valdymo sistemų: „WordPress“, „Drupal“, „Joomla“, „1CRM“, „SugarCRM“, „Yii“ ir kitos. Spraga gavo statusą „critical“ ir „highly critical“ bei numerį CVE-2016-10033.

Spraga leidžia vykdyti kenkimo kodą, kurį piktavalis įveda vietoje įprasto el. pašto adreso. Ataką galima vykdyti, kai naudojami nustatymai pagal nutylėjimą (angl. default): išjungtas „safe_mode“, pranešimo siuntimui naudojama PHP funkcija „mail()“ ir programa „sendmail“. „sendmail“ versija, esanti kataloge /usr/sbin/sendmail ir naudojama pašto serverio programose „Postfix“ ir „Exim“, negali būti naudojama atakai vykdyti, nes minėtos 2 programos ignoruoja parinktį (angl. option) „-X“. Daugybėje interneto svetainių yra galimybė registruotis, palikti atsiliepimą, išsiųsti laišką per formą ir t.t. Ar atakų vykdymui galima naudoti tokias svetaines, priklauso nuo to, kaip tiksliai svetainės kūrėjai suprogramavo įvesto el. pašto adreso tikrinimą.

Operacinės sistemos „GNU/Linux“ atmainos „Debian“, „RHEL“, „CentOS“, „Fedora“, „Ubuntu“, „SUSE“, „openSUSE“ gruodžio 28 d. duomenimis dar neturėjo reikiamų paketų naujinių. Yra išleista nauja „PHPmailer“ versija.

CERT-LT rekomenduoja:

Naujinti „PHPmailer“ versiją iki naujausios. Versijoje 5.2.18 spragos nebėra.

Daugiau informacijos:

1) http://openwall.com/lists/oss-security/2016/12/27/5

2) https://security-tracker.debian.org/tracker/CVE-2016-10033

3) Pranešimas turinio valdymo sistemos „Wordpress“ svetainėje

4) Pranešimas turinio valdymo sistemos „Drupal“ svetainėje

Visi pranešimai