PHPMailer victime d'une faille de sécurité importante

Les annonces officielles de FranceServ Hébergement.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

Tenez absolument à jour vos différentes solutions PHP telles que WordPress, Drupal, Joomla, etc ... utilisant la bibliothèque/extension PHPMailer car votre site pourrai être utilisé par des pirates pour prendre le contrôle de vos données ou attaquer des cibles sur Internet.

Voici l'article NextInpact.com du 27/12/2016 à 08:39 qui en parle :
PHPMailer est victime d'une importante faille de sécurité permettant d'exécuter du code arbitraire à distance. Un correctif est disponible avec la version 5.2.18, mais il faut maintenant attendre qu'il soit déployé par les applications utilisant PHPMailer.

Comme son nom l'indique, PHPMailer est une bibliothèque PHP qui permet d'envoyer des emails et que l'on retrouve dans de nombreuses applications comme WordPress, Drupal, Joomla, etc. Cette solution est donc largement utilisée, ce qui est d'autant plus problématique quand une importante faille de sécurité est découverte. C'est justement ce que vient de trouver Dawid Golunski, sur toutes les versions de PHPMailer inférieures à la 5.2.18 (datée du 24 décembre).

Le hacker à l'origine de la découverte explique que via cette brèche, un pirate pourrait exécuter du code arbitraire à distance sur le serveur qui héberge PHPMailer : « Un attaquant pourrait cibler des composants classiques d'un site web tels que les formulaires de contact ou d'inscription, la réinitialisation d'un mot de passe et d'autres qui envoient des emails à l'aide d'une version vulnérable de la classe PHPMailer ».

Dawid Golunski ajoute qu'il a développé un prototype fonctionnel permettant d'utiliser cette faille. Il ne donne par contre pas plus de détails pour le moment afin de laisser à chacun de se mettre à jour avec la version 5.2.18 (ou 5.2.19 qui ne propose que des changements mineurs) de PHPMailer.

Il faudra également attendre que les applications qui utilisent cette classe se mettent à jour (Joomla, Drupal, WordPress, etc.). Dans tous les cas, le hacker promet que tous les détails d'exploitation de cette faille et une vidéo seront publiés prochainement, sans préciser quand exactement.
source : https://www.nextinpact.com/news/102657- ... onible.htm

Mon prestataire réseau a déjà indiqué succinctement sur leur IRC que d'autres prestataires et clients ont été compromis et se sont vu leurs machines bloquées sur Internet.

Concernant FranceServ Hébergement, si votre site venait à être utilisé pour attaquer une ressource sur Internet (parmi un botnet lors d'un DDoS par exemple), mes protections détecteraient automatiquement l'attaque sortante et bloquerait votre compte pour limiter les dégâts et éviter de pénaliser les services. Si ça vous arrive, il faudra me contacter.

Pour les développeurs, voici le patch immédiat à appliquer sur vos fichiers "class.phpmailer.php" : https://github.com/PHPMailer/PHPMailer/ ... 4edf807cdc

J'ai récupéré plusieurs empreintes SHA512 de fichiers "class.phpmailer.php" compromis. Je vais lancer un robot pour prévenir un maximum d'hébergés disposants de cette faille, même si ces alertes ne seront pas exhaustives.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Répondre