【漏洞預警】PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10033與CVE-2016-1

有關市網中心之各項問題與建議

【漏洞預警】PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10033與CVE-2016-1

文章jo » 週四 1月 05, 2017 11:01 am

[主旨說明:]【漏洞預警】PHPMailer存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2016-10033與CVE-2016-10045),請儘速確認並進行修正

[內容說明:]

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201612-0018

PHPMailer是一個用於發送電子郵件的PHP函式庫,強化PHP內建之mail函式功能,提供透過網站介面寄發信件用途,並且廣泛被其他開放源專案使用,例如WordPress、Drupal與Joomla等。

2016/12/16波蘭研究員Dawid Golunski發現5.2.18版本以前的PHPMailer,存在未嚴格篩選郵件寄件者特殊字元之問題,導致攻擊者可將惡意郵件寫入網頁程式碼。原因在於PHPMailer實作支援RFC 3696所設定之特殊格式郵件信箱(郵件帳號以雙引號含括,但其中包含空白字元,例如 email address with spaces@example.com)時,並未嚴格過濾內容,導致攻擊者可在上述郵件帳號中,利用添加反斜線與雙引號(\”)方式,達到夾帶更多參數給系統上Sendmail郵件伺服器目的(雙引號開頭與結尾代表一個參數,故透過此方式,以增加更多參數),並藉由額外夾帶之Sendmail參數(包含-X,為Sendmail接受之參數,可將郵件內容寫入檔案),達到將惡意PHP程式內容寫入網頁程式碼,以造成遠端執行程式碼之弱點(弱點編號為CVE-2016-10033)。

針對CVE-2016-10033漏洞,雖然PHPMailer官方網站已於12/24釋出5.2.18更新版本,但因更新內容不夠完善,攻擊者仍可透過再增加單引號(‘)方式繞過其更新之過濾防護機制(弱點編號為CVE-2016-10045漏洞)。因此請儘速將PHPMailer更新至5.2.20(12/28釋出)以上版本。

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

PHPMailer 5.2.19(含)前的版本。

[建議措施:]

請檢視PHPMailer版本,方式如下:
1. 檢視PHPMailer根目錄下之VERSION檔案

2. 透過搜尋class.phpmailer.php檔案,並檢視PUBLIC VERSION資訊
如所使用之PHPMailer為5.2.20前的版本,請儘速至官方網頁(https://github.com/PHPMailer/PHPMailer)下載並安裝最新版本之PHPMailer。

[參考資料:]

1. https://github.com/PHPMailer/PHPMailer/ ... rabilities

2. https://www.wordfence.com/blog/2016/12/ ... erability/

3. http://legalhackers.com/advisories/PHPM ... -Vuln.html

4. https://legalhackers.com/advisories/PHP ... ypass.html

5. https://github.com/PHPMailer/PHPMailer/ ... angelog.md




(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。

教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw
jo
 
文章: 290
註冊時間: 週五 3月 17, 2006 3:41 pm

回到 市網留言板

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客

cron