Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (03.01.2017):
TYPO3 enthält bis inklusive Version 6.2.29, 7.6.14 und 8.5.0 eine
angreifbare Version des Pakets ‘swiftmailer/swiftmailer’ für Aktionen im
Zusammenhang mit dem Versand von Emails. Die Unterstützung der
PHP-Funktion ‘mail’ endet mit der aktualisierten Version dieses Pakets.
Die als Sicherheitsupdates neu veröffentlichten Versionen 6.2.30, 7.6.15
und 8.5.1 von TYPO3 beinhalten eine aktuelle Version von Swift Mailer.
Benutzer von TYPO3 werden angewiesen, die TYPO3 MAIL-Konfiguration
gegebenenfalls zu verändern, so dass eine andere Transportmethode für
Emails verwendet wird.
Version 1 (02.01.2017):
Neues Advisory
Betroffene Software:
Swift Mailer < 5.4.5 TYPO3 < 6.2.30 TYPO3 < 7.6.15 TYPO3 < 8.5.1 Betroffene Plattformen: TYPO3 Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in Swift Mailer vor Version 5.4.5 ausnutzen, um beliebigen Programmcode als Parameter in einen Systemaufruf von 'sendmail' zu injizieren, der schließlich als auf dem Webserver ausführbare Datei abgelegt wird. Der Hersteller informiert über die Schwachstelle und veröffentlicht Swift Mailer 5.4.5 als Sicherheitsupdate. Für die Distributionen Fedora 24 und 25 sowie für Fedora EPEL 7 stehen Sicherheitsupdates für das Paket 'php-swiftmailer' auf Version 5.4.5 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2016-b65e546846 (Fedora 24, php-swiftmailer-5.4.5-1.fc24) https://bodhi.fedoraproject.org/updates/FEDORA-2016-b65e546846
Patch:
Fedora Security Update FEDORA-2016-f7ef82c1b4 (Fedora 25,
php-swiftmailer-5.4.5-1.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f7ef82c1b4
Patch:
Fedora Security Update FEDORA-EPEL-2016-bb32162e83 (Fedora EPEL 7,
php-swiftmailer-5.4.5-1.el7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-bb32162e83
Patch:
Swift Mailer 5.4.5 Release Notes
https://github.com/swiftmailer/swiftmailer/blob/5.x/CHANGES#L10
Patch:
TYPO3 CMS 6.2.30, 7.6.15, 8.5.1 Release Notes
https://typo3.org/news/article/typo3-cms-6230-7615-and-851-released/
Patch:
TYPO3 Security Advisory TYPO3-CORE-SA-2017-001
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2017-001/
CVE-2016-10074: Schwachstelle in Swift Mailer ermöglicht Ausführung
beliebigen Programmcodes
In Swift Mailer besteht eine zur Schwachstelle CVE-2016-10033 (Schwachstelle
in PHPMailer ermöglicht Erlangen von Benutzerrechten) ähnliche
Schwachstelle, da die Klasse ‘SwiftMailer’ ebenfalls auf die PHP-Funktion
‘mail’ zurückgreift.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2151/
Fedora Security Update FEDORA-2016-b65e546846 (Fedora 24,
php-swiftmailer-5.4.5-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-b65e546846
Fedora Security Update FEDORA-2016-f7ef82c1b4 (Fedora 25,
php-swiftmailer-5.4.5-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f7ef82c1b4
Fedora Security Update FEDORA-EPEL-2016-bb32162e83 (Fedora EPEL 7,
php-swiftmailer-5.4.5-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-bb32162e83
Swift Mailer 5.4.5 Release Notes:
https://github.com/swiftmailer/swiftmailer/blob/5.x/CHANGES#L10
Schwachstelle CVE-2016-10074 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-10074
TYPO3 CMS 6.2.30, 7.6.15, 8.5.1 Release Notes:
https://typo3.org/news/article/typo3-cms-6230-7615-and-851-released/
TYPO3 Security Advisory TYPO3-CORE-SA-2017-001:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2017-001/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
