Hier könnte deine Werbung stehen! So wie das hier:

Kategorien: Sicherheit

Joomla! Mailfunktion prüfen, Lücke im PHPMailer

Teilen

Die Aufregung war anfänglich gross, als heute Nachmittag die Meldung herein kam, dass in der PHP-Komponente “PHPMailer” eine Lücke bekannt wurde.

In der Meldung wurde explizit Joomla! als betroffenes CMS erwähnt. Doch das Ganze ist relativ unspektakulär.

Offenbar wurde heute in einer PHP-Bibliothek “PHPMailer” eine Lücke bekannt, die den Mailversand missbrauchen könnte. Weil in der Meldung Joomla! als CMS explizit genannt wurde, quoll heute Nachmittag meine Mailbox über.

Aber im Grunde genommen ist davon jedes System (WordPress, Drupal Mantis) genauso betroffen, dass zum Versenden von Emails diese Bibliothek nutzt. Sehr oft sind das Kontaktformulare, Foren, Erweiterungen mit Mailversand etc.

Die gute News vorweg. Alles halb so schlimm! Denn…

1. Es gibt bereits ein Patch!

Das Problem hat nix mit Joomla! an sich zu tun. Bei der Lücke handelt es sich um ein PHP-Mailer Modul (Version: 5.2.16), dass in Joomla als 3pd Modul in libraries/vendor/… verteilt wird. Der PHP-Mailer (Version: 5.2.19) wurde heute bereits gepatcht und wurde fast zeitgleich auch bei Joomla! in den aktuellen Entwicklerzweig implementiert.

Die aktuellen Paketdateien werden wohl mit dem nächsten Joomla!-Update ausgeliefert. Wer will kann die Dateien im phpmailer-Ordner bereits laden und in seiner Installation ersetzen.

2. Sendmail wenig bis gar nicht genutzt

Damit Joomla! diese besagte PHP Bibliothek von sich aus benutzt, muss in der Globalen Konfiguration im Kapitel: “Mailer” die Einstellung: “Sendmail” eingestellt sein (vgl. Teaserbild). Bei rund 80% der Installationen steht an der Stelle PHP-Mail oder SMTP-Versand. Diese sind von der Lücke nicht betroffen.

Möglicherweise gibt es aber installierte Erweiterungen (z.B. Acymailing, Chronoforms oder Jomsocial), welche auf die PHPMailer-Funktion zugreifen.

Solltest du zu den wenigen gehören, die Sendmail benutzen, kannst du bis zum nächsten Joomla!-Update einer der beiden Alternativen (PHP-Mail oder SMTP) nutzen, bis die Lücke gestopft ist. Verwendest du eine Erweiterung mit der Funktion, solltest du mal die Send-Logs im Auge behalten.

Ergänzung von joomla.org

Inzwischen wurde auf der Joomla!-Entwicklerseite ein Hinweis zur Lücke veröffentlicht. Dort wird das Risiko zur Ausnutzung des Lecks als “nicht ausführbar” eingestuft, sofern die Klasse korrekt angewandt wird. Grundsätzlich wird der PHPMailer in Joomla! nur über die JMail Klasse verwendet. D.h. es wird eine vorgängige Validierung des Absenders zugeschaltet, der allfälliges Einschleusen des Schadcodes erkennen und enstprechend blockieren würde.

Quelle: golem.de

Roger Perren @joomlainfo1

Letzte Beiträge

Der Publisher-Workflow in Joomla! 4 – Teil 1

Aktuell kennt Joomla! nur die Stati «Publiziert» und «Nicht Publiziert». In Joomla 4 wird die Workflow Komponente Einzug halten, die… Weiterlesen

vor 2 Tagen

Umbau abgeschlossen

Nach einem Jahr im WordPress Pilot-Betrieb wurden jetzt an der Website umfassende Optimierungsarbeiten durchgeführt. Jetzt sind die Arbeiten mehrheitlich abgeschlossen. Weiterlesen

vor 6 Tagen

Akeeba Alternativen

Mit dem 7.x Release kürzt Akeeba seine Funktionen in der kostenlosen Coreversion. Hier ein paar Alternativen, wenn man nicht auf… Weiterlesen

vor 1 Woche

Joomla! 3.9.13 Update erschienen!

Das Joomla! 3.9.13 Update behebt zwei kleinere Sicherheits-Lücken sowie 26 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 1 Monat

Neues Spring Template fürs Backend von Joomla! 4

Erfrischend neues Joomla! 4 Admin-Template namens «Spring» vorgestellt. Ich habe das neue Template angeschaut und meine ersten Eindrücke als Vor-… Weiterlesen

vor 2 Monaten

Joomla! 4 und neue Freunde kennenlernen

Kann man kostenlos Joomla! 4.0 besser kennenlernen und gleichzeitig noch neue Joomla!Spezialisten kennenlernen? Weiterlesen

vor 2 Monaten