In de afgelopen week zijn er twee security releases uitgekomen voor PHPMailer, dit stukje software wordt veel gebruikt, ook in de Joomla! core, om mails te kunnen versturen. Het Joomla! Security Strike Team heeft deze beoordeeld of deze kwetsbaarheid in de door Joomla! gebruikte versie van PHPMailer gevolgen kan hebben en is tot de conclusie gekomen dat wanneer er goed gebruik van de JMail class gebruikt wordt er geen praktische toepassingen zijn voor deze kwetsbaarheden van PHPMailer.

Je kan het hele bericht van het JSST hier lezen:
https://developer.joomla.org/security-centre/668-20161205-phpmailer-security-advisory.html

Het is wel mogelijk dat er extensies zijn die hier op een andere manier van PHPMailer gebruik maken, of een eigen versie gebruiken in hun extensie. Op dit moment zijn hiervan drie bekend die hierom een nieuwe release uit hebben gebracht. Gebruik je één van de onderstaande extensies, zorg er dan voor dat je de laatste update hebt geïnstalleerd!

  • Jomres (ouder dan 9.8.24 is vatbaar)
  • AcyMailing (versie 5.6.1 is de recente uitgave op dit moment maar nog niet bijgewerkt tot de laatste versie van PHPMailer)
  • Chronoforms (ouder dan 5.0.13 is vatbaar)

3 reacties

EasyDiscuss Avatar
BramWaas
bedankt voor dit duidelijke bericht
EasyDiscuss Avatar
no1nooz
Op de website van AcyMailing staat dat de recente uitgave WEL is bijgewerkt en dat ze een eigen phpmailer gebruiken. Waarom staat dat hier niet vermeld?<br />Citaat :
This is a critical security release for all series of AcyMailing component for Joomla! We’ve updated PHPMailer to its latest version. This release fixes the original exploit CVE-2016-10033 discovered on 12/25/2016 and the second exploit found on 12/27/2016 CVE-2016-10045. As AcyMailing use its own version of PHPMailer you need to update it apart from any Joomla! update.

EasyDiscuss Avatar
gasoline
Laatst gewijzigd op 09.01.2017 17:50 door gasoline
@no1nooz,
Acymailing 5.6.1 is de versie die het probleem oplost. Staat inderdaad fout in het artikel

Citaat :
AcyMailing 5.6.0 and previous versions include PHP Mailer library vulnerable to CVE-2016-10033 and CVE-2016-10045
Resolution: update to 5.6.1
Update notice: https://www.acyba.com/68-acymailing-changelog.html

Bron: https://vel.joomla.org/resolved/1906-acymailing-5-6-0-php-mailer-vulnerability

Reageer

1000 Resterende tekens