Skip to main content

Kwetsbaarheid in PHPMailer (geen direct gevaar binnen Joomla!)

phpmailerOp dinsdag 27 december 2016 is er een kwetsbaarheid ontdekt in PHP Mailer.
Deze toepassing wordt ook gebruikt in de core van Joomla.
Het Joomla Security Strike Team (JSST) heeft onderzocht dat het in combinatie met de PHP Mailer van Joomla geen kwetsbaarheid is bij normaal gebruik.
Er is direct aangegeven dat de Joomla-gebruikers er niets aan hoeven te doen, maar dat ontwikkelaars er wel aandacht voor moeten hebben bij het onderhoud van hun extensies.
Het betreft hier de extensies die gebruik maken van een externe PHP Mailer-functie vanuit hun eigen extensie.

Een update van de library zal worden meegenomen in Joomla 3.7
De kwetsbaarheid zit in de versies Joomla 1.6.0 tot en met 3.6.5.

Inmiddels zijn er al wel enkele actieve hostingproviders die met behulp van Patchman een aanpassing doen om deze kwetsbaarheid op voorhand al te repareren.
Ook Wordpress maakt gebruik van phpmailer.php en daarom worden ook die sites door Patchman aangepast.


Meer informatie is te vinden op: https://developer.joomla.org/security-centre/668-20161205-phpmailer-security-advisory.html

Update per 28 december:
Er zijn de afgelopen dagen twee verbeteringen van PHPMailer uitgebracht door de makers ervan.
Daardoor kan het zijn dat Patchman van de providers vandaag opnieuw een bericht stuurt dat er een beveiligingslek is gevonden en eventueel gerepareert.


Welke extensies hebben PHPMailer zelf ingeprogrammeerd?

Op Joomla.org wordt een vulnerabillity-lijst bijgehouden van extensies met een kwetsbaarheid.

Chronoforms
Daaruit blijkt dat Chronoforms 5.0.12 een eigen PHP Mailer bevat waarvan is geconstateerd dat die kwetsbaar is.
https://vel.joomla.org/resolved/1905-chronoforms-5-0-12-php-mailer-vulnerabilityEr is inmiddels een update voor beschikbaar (Chronoforms 5.0.13):
https://www.chronoengine.com/forums/posts/t102804/p363944/phpmailer-library.html

AcyMailing
Ook in AcyMailing werd een eigen PHPMailer gebruikt. Update daarom deze extensies naar versie 5.6.1
https://www.acyba.com/68-acymailing-changelog.html

 Joomres
Ook Jomres heeft de PHPMailer zelf ingebouwd en daaromm moet deze extensie worden geupdate naar versie 9.8.22
https://www.jomres.net/support/changelog