PHPMailer-kirjastossa kriittinen haavoittuvuus

Useissa sisällönhallintajärjestelmissä käytetystä PHPMailer-kirjastosta on löytynyt kriittinen haavoittuvuus, joka mahdollistaa kohdejärjestelmän haltuunoton. Haavoittuvuudelle on olemassa julkisia hyväksikäyttömenetelmiä.

PHPMailer on sähköpostin lähettämiseen käytettävä ohjelmistokirjasto. PHPMaileria käytetään osana useita sisällönhallintajärjestelmiä, kuten esimerkiksi Wordpress, Joomla! ja Drupal.

PHPMailerista on löydetty haavoittuvuus, jonka avulla hyökkääjä pystyy suorittamaan haluamaansa ohjelmakoodia palvelimella sekä ottamaan palvelimen haltuunsa. Haavoittuvuus koskee verkkosivuilla olevia lomakkeita, jotka lähettävät sähköpostiviestin PHPMailer-kirjaston avulla. Tällaisia ovat esimerkiksi yhteydenottolomakkeet ja rekisteröintilomakkeet.

Haavoittuvuudelle on olemassa julkisia hyväksikäyttömenetelmiä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

PHPMailer ennen versiota 5.2.20

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä PHPMailer versioon 5.2.20 tai uudempaan. Versiossa 5.2.18 julkaistu korjaus oli puutteellinen. Uudelle haavoittuvuudelle on annettu tunniste CVE-2016-10045. Uusi päivitys on julkaistu 28.12.2016.

Kaikkiin sisällönhallintajärjestelmiin ei ole vielä saatavilla korjaavaa päivitystä.

Kunnes korjaava päivitys on saatavilla ja asennettu, suosittelemme rajoitustoimenpiteenä ottamaan PHPMaileria käyttävät komponentit väliaikaisesti pois käytöstä. Tällaisia voivat olla esimerkiksi yhteydenottolomakkeet sekä rekisteröintilomakkeet.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248