Seite 1 von 1
Remote-Code-Execution-Lücke in PHPMailer gefunden
Verfasst: 26. Dez 2016, 23:05
von beate
Hallo,
in PHPMailer wurde
eine schwere Lücke entdeckt. Ist geplant, dass das AddOn zeitnah geupdatet wird, oder sollte man es besser von Hand updaten?
Viele Grüße
Beate
Re: Remote-Code-Execution-Lücke in PHPMailer gefunden
Verfasst: 27. Dez 2016, 14:46
von Markus.Staab
Hi Beate,
Es wird sicherlich ein Update geben. Dennoch macht es durchaus sinn bis dahin sich slbst zu helfen und das addon selbst zu patchen.
Grüße,
markus
Re: Remote-Code-Execution-Lücke in PHPMailer gefunden
Verfasst: 27. Dez 2016, 19:03
von tito24
Hallo,
ich habe jetzt einige Redaxo-Versionen mit dem PHP-Mailer aktualisiert. Hierzu habe ich mir die aktuellen Version 5.2.19 herunter geladen und entzippt. Dann per FTP zu dem Ordner des PHP-Mailer: /redaxo/src/addons/phpmailer/vendor/phpmailer. Hier habe ich den Ordner "phpmailer" umbenannt zu "phpmailer_alt" und aus der gezippten Datei den Ordner "PHPMailer-master" eingespielt ihn umbenannt zu "phpmailer". Bisher hat alles gut funktioniert - aber immer gut testen. Kontaktformulare sind sehr sensibel bei den Kunden
)
Guten Rutsch 2017
Tito24
Re: Remote-Code-Execution-Lücke in PHPMailer gefunden
Verfasst: 3. Jan 2017, 18:33
von tito24
Hallo,
die oben von mir beschriebene Lösung funktioniert für Redaxo 5. Leider sieht das unter Redaxo 4 anders aus. Hier verursacht das Austauschen der Class folgende Fehlermeldung:
Fatal error: Class 'rex_mailer' not found in /www/htdocs/XXXXXXX/XXXXX.de/redaxo/include/addons/xform/plugins/email/classes/basic/class.rex_xform_emailtemplate.inc.php on line 91
Vielleicht hat jemand eine Idee dazu? Meine Kunden werden unruhig wegen des Sicherheitslecks
)
Gruß Tito24
Re: Remote-Code-Execution-Lücke in PHPMailer gefunden
Verfasst: 4. Jan 2017, 12:09
von dag
Hallo,
ist es notwendig, den kompletten Ordner zu ersetzen, oder reicht es, die Datei class.phpmailer.php zu ersetzen, da nur dort die Sicherheitslücke auftrat?
VG, Dagmar