Vos recrutements informatiques

700 000 développeurs, chefs de projets, ingénieurs, informaticiens...

Contactez notre équipe spécialiste en recrutement

Une faille critique de PHPMailer permet d'exécuter du code arbitraire à distance
Les utilisateurs sont vivement encouragés à appliquer le patch

Le , par Stéphane le calme, Chroniqueur Actualités
PHPMailer, le script PHP qui automatise l’envoi de courriel, a été victime d’un bogue critique résidant dans la façon dont les sites web gèrent les formulaires de soumission de courrier électronique via PHPMailer. Il faut rappeler que ce dernier est très populaire : il est retrouvé dans de nombreux sites et CMS comme WordPress, Drupal, 1CRM, SugarCRM, Yii, ou encore Joomla. D’ailleurs, sur son site, le script revendique plus de 9 millions d’utilisateurs dans le monde avec des téléchargements journaliers conséquents.

Dawid Golunski, le chercheur polonais en sécurité qui l’a découverte, assure qu’un pirate serait en mesure d’exécuter du code arbitraire à distance sur le serveur qui héberge PHPMailer. Pour exploiter cette vulnérabilité, un attaquant pourrait cibler des composants classiques d'un site web tels que les formulaires de contact ou d'inscription, la réinitialisation d'un mot de passe et d'autres qui envoient des emails à l'aide d'une version vulnérable de la classe PHPMailer ».

La vulnérabilité a été référencée sous le code CVE-2016-10033 et vise les versions antérieures à la 5.2.18. Cette dernière corrige la faille et a été publiée samedi 24 décembre. Dawid Golunski a développé un prototype fonctionnel permettant d'utiliser cette faille comme PoC. Il n’a volontairement pas donné beaucoup de détails afin de laisser à chacun le temps de se mettre à jour.

Néanmoins, Golunski a expliqué que la validation Sendmail est faite en utilisant la spécification RFC 3696 qui, dans certaines circonstances, permet aux pirates d'ajouter des guillemets et des caractères dans une adresse e-mail. Lorsqu'ils ne sont pas vérifiés, ces guillemets et ces caractères peuvent être interprétés comme des arguments de ligne de commande qui créent la vulnérabilité d'exécution de code à distance dans PHPMailer.

Golunski va apporter une description plus complète des vecteurs d'attaque et des exploits à une date ultérieure, le temps pour le correctif d’être installé sur le maximum de sites web et plateformes impactés.

WordPress et Drupal ont tous deux émis des avertissements concernant PHPMailer. « Les modules PHPMailer et SMTP (et peut-être d'autres) ajoutent un support pour envoyer des e-mails à l'aide de la bibliothèque tierce PHPMailer. En général, le projet Drupal ne crée pas d'avis pour les bibliothèques tierces. Les responsables du site Drupal doivent prêter attention aux notifications fournies par ces bibliothèques tierces telles que décrites dans PSA-2011-002 - Bibliothèques externes et plugins. Toutefois, compte tenu de l'extrême criticité de ce problème et du timing de sa diffusion, nous publions une PSA (Public Service Announcement) pour alerter les responsables potentiels affectés », a indiqué Drupal.

Source : David Golunski, Drupal, WordPress


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de domi65 domi65 - Membre actif https://www.developpez.com
le 06/01/2017 à 17:31
qui permet d’exécuter du code arbitraire à distance sur le serveur qui héberge PHPMailer.

Je ne comprends pas. Il n'y a pas de serveur particulier qui héberge PHPMailer ! A moins qu'il s'agissent simplement du serveur du site qui utilise la classe.

qui permet aux pirates d'ajouter des guillemets et des caractères dans une adresse e-mail. Lorsqu'ils ne sont pas vérifiés,

Non vérifiés ?! Vous voulez dire que Drupal, WordPress et autres ne connaissent pas la fonction filter_var($email, FILTER_VALIDATE_EMAIL) ou ne l'utilisent pas ? Moi qui croyais que tous ces CMS étaient hypersécurisés...
Offres d'emploi IT
Data scientist senior H/F
Safran - Ile de France - Magny-les-Hameaux (Saclay)
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil