Критическая уязвимость в PHPMailer - Безопасность сайтов на Joomla

Вчера было объявлено о том, что что в библиотеке PHPMailer обнаружена критическая уязвимость CVE-2016-1003. С ее помощью хакер может удаленно выполнить код в контексте web-сервера и скомпрометировать web-приложение. Для эксплуатации уязвимости (CVE-2016-10033) атакующий может использовать такие компоненты сайта, как формы обратной связи, регистрационные формы, механизмы восстановления и сброса пароля и пр., использующие уязвимую версию PHPMailer для отправки электронных сообщений. Проблема затрагивает все версии библиотеки до 5.2.20.

Пользователи Joomla в принципе защищены, так как используется класс JMail, в котором есть необходимая валидация.

Подробнее об уязвимости https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html

теперь уже в теме:

PHPMailer < 5.2.20 Remote Code Execution (0day Patch Bypass/exploit)

http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html

Уважаемый b2z.

Про коробку понятно, а если я использую PHPMailer , как отдельное, что делать для того, чтоб обезопаситься?

вопрос на форуме Joomla вариант обновляться вовремя не рассматриваем, это сильно сложно?

Уважаемый b2z.

Про коробку понятно, а если я использую PHPMailer , как отдельное, что делать для того, чтоб обезопаситься?

А что просто мешает эту библиотеку отдельно скачать с репозиторий? или с обновленной коробки выдернуть?

А что просто мешает эту библиотеку отдельно скачать с репозиторий? или с обновленной коробки выдернуть?

Я вот тоже думал, если такое вылезло, что мешает разрабам изменить при новом релизе безопасности?
Или это категорично влияет на иное?

Скачайте отдельно PHPMailer. В Joomla библиотеку обновят при следующем релизе. Опять же, эксплоит возможен только в том случае, если в форме есть поле send from.

Скачайте отдельно PHPMailer. В Joomla библиотеку обновят при следующем релизе. Опять же, эксплоит возможен только в том случае, если в форме есть поле send from.

Подскажите юзеру, RSForm  что использует в функиях формирования и отправки?

я попробовал накатить патченный вместо родного и письма перестали приходить. так что жду нормального обновлятора

Подскажите юзеру, RSForm  что использует в функиях формирования и отправки?

Ресерчить надо, но помнится мне я там RCE находил, хз пофиксели или нет

Может за 3 дня наконец-то исправят эту библиотеку?

В принципе автор давольно токи популярно описал суть баги, если сильно переживаете, ознакомитесь с его трудом и наложите временный патч.

Подскажите юзеру, RSForm  что использует в функиях формирования и отправки?

Без понятния. Если это конструктор форм, то по идее send from можно тоже добавить. Надо смотреть конерктную форму.
Если испольузется JMail, то проблем не должно быть.

Подскажите пожалуйста - имею сайт на Joomla 3.6.5, недавно через админку перезаписал основные файлы Joomla, а на следующий день заметил что ночью был перезаписан файл /public_html/libraries/vendor/phpmailer/phpmailer/class.phpmailer.php  Опять перезаписал файлы Joomla - на следующее утро то же самое.

Причем в обоих файлах (и в старом и в новом) указана одна и та же версия - 5.2.16, но содержание разное. Посмотрел по логам - ничего подозрительного. Подключений по ftp/ssh в это время не было... Отправка почты через форму обратной связи работает отлично, сама форма обратной связи  - стандартная джумловская, не сторонняя...

Этот файл кто-то заливает через дыру в сайте, или это сама Joomla его обновляет и это нормально?

Это точно не Joomla. Где-то видел на форуме, что хостнг как-то подменяет, но не уверен.

А если выложу этот файл - можете бегло посмотреть, есть в нем что-то подозрительное?

Вот он в приложении.

Вот тема, в который обсуждалось аналогичное.

Как самому обновить  PHPMailer, работает в любой версии Joomla.
Добавьте это в шапку!

Обновление PHPMailer до версии 5.2.22, где проблема CVE-2017-5223 пофиксина!
заходим сюда
https://github.com/PHPMailer/PHPMailer

Из всех этих фаилов нам нужны только три фаила.
а имено
class.phpmailer.php
class.pop3.php
class.smtp.php

Скачиваем их.
у себя на компьютере их переименовываем
class.phpmailer.php  переименовываем -------> phpmailer.php
class.pop3.php  переименовываем ------->  pop3.php    
class.smtp.php  переименовываем ------->  smtp.php

после чего заходим на сайт по FTP
ваш_сайт/libraries/phpmailer/
Записываем новые фаилы по верх старых.
Проверяем права на фаилы, должны быть 644
Это все.
Не забываем говорить спасибо!