[MAJ du 29 / 12] Faille critique sous PHPMailer : correctif publié le 24 Décembre… Maintenant le déploiement pour sites et CMS (don’t come easy…) !

>> Mise à jour du 29 Décembre : Suite à la mise à jour (v5.2.18), une nouvelle vulnérabilité a été découverte (CVE-2016-10045) et listée dans la version 5.2.20 de PHPMailer. Dawid Golunski pointe, en aparté, une autre faille (CVE-2016-10074) qui n’est pas en relation directe avec la fonctionnalité d’envoi de mails mais plutôt avec SwiftMailer, un fork de la bibliothèque PHPMailer. Certains CMS tels que WordPress, par exemple, viennent à peine de se voir finaliser une rustine qui sortira dans le cadre de la prochaine mouture du CMS (en v4.7.1 d’ici Janvier prochain)… A patienter ! <<<

Source : MrSlayers (merci ;o !)


News du 28 Décembre 2016 :

Même en temps de fêtes les vulnérabilités sécuritaires ne défaillent pas rendant la vie difficile à certains administrateurs de sites et de CMS qui, eux aussi, devront rester en veille : un hacker en sécurité a mis en lumière une faille qualifiée de critique concernant PHPMailer !

« Un attaquant pourrait cibler des composants classiques d’un site web tels que les formulaires de contact ou d’inscription, la réinitialisation d’un mot de passe et d’autres qui envoient des emails à l’aide d’une version vulnérable de la classe PHPMailer« , explique Dawid Golunski, le découvreur / analyste sécuritaire, dans son post volontairement publié un jour après le patch correctif de cette fonctionnalité permettant l’envoi sécurisé de mails sur divers sites et plateformes multimédias tels que « WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla! et bien d’autres » précise le hacker.

Affectant les versions antérieures à 5.2.18 de la bibliothèque PHP (version incluant le correctif publié le 24 Décembre 2016), la faille critique est assignée au bulletin sécuritaire CVE-2016-10033 sans toutefois, malheureusement et dans l’absolu, être colmatée côté sites et CMS divers : en clair, un peu comme Android, si le patch est bien généré, il faut maintenant attendre le déploiement de ce patch côté éditeurs de sites / CMS.

Le PoC, brièvement expliqué par le jeune chercheur (puisqu’en attente d’avoir le déploiement du correctif sur toutes les plateformes / sites pour démontrer en vidéo et sans danger la faille, sans détournement malveillant) exploite une vulnérabilité de l’outil d’envoi de mails (via formulaire de contacts, enregistrements compte…. tout ce qui génère directement ou indirectement l’usage de PHPMailer) pour corrompre le système depuis le sites ou CMS en question pour mieux contrôler à distance le poste de la victime et ainsi exécuter arbitrairement du code.

Reste pour l’heure, donc, à être patient et à gager un énième cadeau du ciel du petit papa Noël : une mise à jour rapide du site et des CMS intégrant ou utilisant PHPMailer… A veiller !

Source : LegalHackers.com