IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une faille critique de PHPMailer permet d'exécuter du code arbitraire à distance


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 019
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 019
    Points : 208 548
    Points
    208 548
    Par défaut Une faille critique de PHPMailer permet d'exécuter du code arbitraire à distance
    Une faille critique de PHPMailer permet d'exécuter du code arbitraire à distance,
    les utilisateurs sont vivement encouragés à appliquer le correctif de sécurité

    PHPMailer, le script PHP qui automatise l’envoi de courriel, a été victime d’un bogue critique résidant dans la façon dont les sites web gèrent les formulaires de soumission de courrier électronique via PHPMailer. Il faut rappeler que ce dernier est très populaire : il est retrouvé dans de nombreux sites et CMS comme WordPress, Drupal, 1CRM, SugarCRM, Yii, ou encore Joomla. D’ailleurs, sur son site, le script revendique plus de 9 millions d’utilisateurs dans le monde avec des téléchargements journaliers conséquents.

    Dawid Golunski, le chercheur polonais en sécurité qui l’a découverte, assure qu’un pirate serait en mesure d’exécuter du code arbitraire à distance sur le serveur qui héberge PHPMailer. Pour exploiter cette vulnérabilité, un attaquant pourrait cibler des composants classiques d'un site web tels que les formulaires de contact ou d'inscription, la réinitialisation d'un mot de passe et d'autres qui envoient des emails à l'aide d'une version vulnérable de la classe PHPMailer ».

    La vulnérabilité a été référencée sous le code CVE-2016-10033 et vise les versions antérieures à la 5.2.18. Cette dernière corrige la faille et a été publiée samedi 24 décembre. Dawid Golunski a développé un prototype fonctionnel permettant d'utiliser cette faille comme PoC. Il n’a volontairement pas donné beaucoup de détails afin de laisser à chacun le temps de se mettre à jour.

    Néanmoins, Golunski a expliqué que la validation Sendmail est faite en utilisant la spécification RFC 3696 qui, dans certaines circonstances, permet aux pirates d'ajouter des guillemets et des caractères dans une adresse e-mail. Lorsqu'ils ne sont pas vérifiés, ces guillemets et ces caractères peuvent être interprétés comme des arguments de ligne de commande qui créent la vulnérabilité d'exécution de code à distance dans PHPMailer.

    Golunski va apporter une description plus complète des vecteurs d'attaque et des exploits à une date ultérieure, le temps pour le correctif d’être installé sur le maximum de sites web et plateformes impactés.

    WordPress et Drupal ont tous deux émis des avertissements concernant PHPMailer. « Les modules PHPMailer et SMTP (et peut-être d'autres) ajoutent un support pour envoyer des e-mails à l'aide de la bibliothèque tierce PHPMailer. En général, le projet Drupal ne crée pas d'avis pour les bibliothèques tierces. Les responsables du site Drupal doivent prêter attention aux notifications fournies par ces bibliothèques tierces telles que décrites dans PSA-2011-002 - Bibliothèques externes et plugins. Toutefois, compte tenu de l'extrême criticité de ce problème et du timing de sa diffusion, nous publions une PSA (Public Service Announcement) pour alerter les responsables potentiels affectés », a indiqué Drupal.

    Source : David Golunski, Drupal, WordPress

  2. #2
    Membre éclairé
    Homme Profil pro
    Webdesigner
    Inscrit en
    Juin 2014
    Messages
    439
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 64
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Associations - ONG

    Informations forums :
    Inscription : Juin 2014
    Messages : 439
    Points : 885
    Points
    885
    Par défaut
    qui permet d’exécuter du code arbitraire à distance sur le serveur qui héberge PHPMailer.
    Je ne comprends pas. Il n'y a pas de serveur particulier qui héberge PHPMailer ! A moins qu'il s'agissent simplement du serveur du site qui utilise la classe.

    qui permet aux pirates d'ajouter des guillemets et des caractères dans une adresse e-mail. Lorsqu'ils ne sont pas vérifiés,
    Non vérifiés ?! Vous voulez dire que Drupal, WordPress et autres ne connaissent pas la fonction filter_var($email, FILTER_VALIDATE_EMAIL) ou ne l'utilisent pas ? Moi qui croyais que tous ces CMS étaient hypersécurisés...

Discussions similaires

  1. Réponses: 24
    Dernier message: 02/03/2019, 14h06
  2. Réponses: 0
    Dernier message: 23/03/2016, 19h58
  3. Réponses: 2
    Dernier message: 17/12/2015, 13h53
  4. Réponses: 2
    Dernier message: 26/03/2015, 11h50
  5. Réponses: 3
    Dernier message: 04/06/2014, 14h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo