+ Antworten
Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: Joomla PHP Mail Sicherheitslücke

  1. #1
    War schon öfter hier
    Registriert seit
    08.05.2007
    Beiträge
    133
    Bedankte sich
    35
    1 Danksagung in 1 Beitrag

    Standard Joomla PHP Mail Sicherheitslücke

    Hallo und Frohes Fest!

    http://www.golem.de/news/websicherhe...12-125255.html

    Ist es sicher wenn ich von PhP Mail auf SendMail umstelle? SMTP sollte das ja eh nicht betreffen, aber SendMail?

    Oder nutzt auch die Umstellung auf SMTP oder SendMail nichts, da das Kontaktformular generell angreifbar ist, da der Code vom PhP Mailer dort enthalten ist?

    Gruß Garack

  2. Erhielt Danksagungen von:


  3. #2
    Gute Seele des Boards Avatar von NinjaTurtle
    Registriert seit
    24.11.2012
    Ort
    Willich
    Alter
    51
    Beiträge
    16.262
    Bedankte sich
    581
    Erhielt 4.200 Danksagungen
    in 4.006 Beiträgen

    Standard

    Infos in der FB Gruppe https://www.facebook.com/groups/joom...hland/?fref=ts


    Zitate vom David:

    "Ich hab heute Vormittag mal in den Code geguckt, soweit ich das sehe sind nur Nutzer betroffen, die als Versandmethode in der globalen Config "Sendmail" ausgewählt haben"

    "Stand jetzt sieht es, wie gesagt, erstmal relativ unspektakulär aus. Sendmail als Versandmethode ist notwendig - und es müssen ungültige Mailadressen als Empfänger verwendet werden. Ersteres ist selten, zweiteres verhindert Joomla per default erstmal."

    Webseiten inkl. Hosting, Domain, laufende Betreuung und Updates

    Web Monkey Design®

    Schützen Sie sich vor Wegwerf-E-Mail-Adressen

  4. Erhielt Danksagungen von:


  5. #3
    War schon öfter hier
    Registriert seit
    08.05.2007
    Beiträge
    133
    Bedankte sich
    35
    1 Danksagung in 1 Beitrag

    Standard

    Bei Facebook bin ich zum Glück nicht, kann da aber auch nicht mitlesen.

    also ist Sendmail anfällig und PhP Mail nicht?

    Mal eine Frage nebenbei, ich habe Sendmail oder PhP Mail nie verstanden, man muss zwar eine E-mail Adresse angeben wie bei SMTP. Es gibt aber keine Login Daten. PHP oder SendMail müssen also aus dem nichts (da sie sich nicht einloggen können wie bei SMTP)
    Emails senden..Ist das nicht seltsam? So kann doch jeder Emails ohne gültige AbsenderMail verfassen, also für Spam usw ?
    Geändert von garack (26.12.2016 um 14:43 Uhr)

  6. #4
    Wohnt hier Avatar von Re:Later
    Registriert seit
    21.04.2014
    Ort
    Berlin
    Beiträge
    4.768
    Bedankte sich
    130
    Erhielt 1.857 Danksagungen
    in 1.654 Beiträgen

    Standard

    Für Nervöse:

    Version 5.2.16 ist die anfällige. Wie SniperSister schreibt, auch nur unter sehr unwahrscheinlichem Szenario bzgl. Joomla-**Core**. Für 3rd-Erweiterungen kann man das nat. nicht mit Sicherheit sagen.

    Auf einer Seite: Ich maile mit SMTP (Kontaktformular) und habe die Dateien in /libraries/vendor/phpmailer/phpmailer/ gegen die Dateien der aktuellen 5.2.19 ausgetauscht (gelöscht und neu hochkopiert). Ohne Ordner examples. Funktioniert ohne Probleme. https://github.com/PHPMailer/PHPMailer/releases

    5.2.19, weil ich noch nicht wusste:
    3.7.0 wird nach aktuellem PR-Stand die Version 5.2.18 mitbringen. Kann nat. noch 5.2.19 werden.
    https://github.com/joomla/joomla-cms/pull/13321

    Und auch eine zurückhaltende Rückfrage bei Joomla-GiHub hat keine große Hektik ausgelöst, wie ich im Moment per Email erfahre.
    https://github.com/joomla/joomla-cms/issues/13373
    Joomlafachmann: https://www.ghsvs.de

  7. Erhielt Danksagungen von:


  8. #5
    War schon öfter hier
    Registriert seit
    08.05.2007
    Beiträge
    133
    Bedankte sich
    35
    1 Danksagung in 1 Beitrag

    Standard

    Wenn du mit SMTP mailst bist du von der Lücke doch nicht betroffen oder? Warum dann die PHP Mailer Version Updaten?

  9. #6
    Wohnt hier Avatar von Re:Later
    Registriert seit
    21.04.2014
    Ort
    Berlin
    Beiträge
    4.768
    Bedankte sich
    130
    Erhielt 1.857 Danksagungen
    in 1.654 Beiträgen

    Standard

    Aus Nettigkeit ;-) Aus Wissbergierigkeit ;-)
    Joomla macht bei Udate nichts anderes als ganze Bibliothek austauschen. Also hab ichs mal ausprobiert, ob Joomla 3.6.5 explordiert.

    War halt da SMTP.
    Joomlafachmann: https://www.ghsvs.de

  10. #7
    War schon öfter hier
    Registriert seit
    08.05.2007
    Beiträge
    133
    Bedankte sich
    35
    1 Danksagung in 1 Beitrag

    Standard

    Ah,ok ich dachte ich habe da nicht verstanden ��

  11. #8
    Moderator Avatar von flotte
    Registriert seit
    20.03.2005
    Ort
    Neustadt
    Beiträge
    6.318
    Bedankte sich
    116
    Erhielt 1.841 Danksagungen
    in 1.452 Beiträgen

    Standard

    Zitat Zitat von NinjaTurtle Beitrag anzeigen
    BTW:
    Ich mag Facebook auch nicht und leider werden immer mehr Fragen genau darüber gestellt. Ist für dein einzelnen vielleicht ganz nett, wenn er eine schnelle Antwort bekommt, aber für die Community ist das wirklich Mist. Fragen und Antworten gehen im undurchschaubaren Facebook-Datenmüll unter. Nichts ist thematisch sortiert, alles durcheinander, keine Thread-Struktur, keine richtige Suche usw.
    Ich plädiere also dafür, mehr in den gängigen Foren der Community zu machen und nicht per FB.
    Gruß! Uwe

    fc-hosting.de

    . . . . . . . . . . . .Gehackt? Was tun?

  12. Erhielt Danksagungen von:


  13. #9
    Wohnt hier Avatar von Re:Later
    Registriert seit
    21.04.2014
    Ort
    Berlin
    Beiträge
    4.768
    Bedankte sich
    130
    Erhielt 1.857 Danksagungen
    in 1.654 Beiträgen

    Standard

    Daumen hoch. Noch dazu musste man sich zumindest gestern zwangsanmelden, um was zum Problem zu sehen.

    Und gleich wieder Nerverl-Email "Willkommen zurück bei FB.", "Du hast mehr Freunde als du denkst." ...
    Joomlafachmann: https://www.ghsvs.de

  14. #10
    Moderator Avatar von flotte
    Registriert seit
    20.03.2005
    Ort
    Neustadt
    Beiträge
    6.318
    Bedankte sich
    116
    Erhielt 1.841 Danksagungen
    in 1.452 Beiträgen

    Standard

    hab das Ersetzen des PHPMailers auch gerade mal getestet (5.2.16 eines Joomla 3.6.5 gegen 5.2.19).
    Konnte keine Probleme festellen. Das Verzeichnis "examples" aus dem aktuellen PHPMailer-Download nicht mit hochladen nach Joomla.
    Gruß! Uwe

    fc-hosting.de

    . . . . . . . . . . . .Gehackt? Was tun?

+ Antworten
Seite 1 von 2 1 2 LetzteLetzte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein