phpmailer problem?

[Tonny Kluften]

Er det noen som har hørt om at nest siste class-phpmailer.php (5.2.7) har sikkerhetsproblemer?

Domeneshop hoster nettsida til et firma jeg hjelper med å rense for hacket kode. Domeneshop krever at nest siste versjon av phpmailer skal oppdateres til siste versjon, ellers stenger de webhotellet til firmaet. Saken er at Wordpress bruker nest siste versjon i sin siste Wordpressversjon. Og det blir håpløst å lage en ny Wordpress class-phpmailer.php fil med siste phpmailer-kode.

Domeneshop skriver til firmaet: "Dere har selv valgt å bruke WordPress og det at WordPress henger etter med sine versjoner er rett og slett ikke god nok grunn."

Syns dette er latterlig, det betyr at alle som bruker siste Wordpressversjon bør få stengt domeneshopkontoene sine...

 

[Bjørnar]

Det er jo ikke latterlig at Domeneshop tar sikkerhet på alvor. Det er jo mer latterlig at WordPress ikke pusher ut en ny release.

 

[Tonny Kluften]

Helt enig at det er bra at Domeneshop tar sikkerhet på alvor. Men hvis de skulle bannlyse alle script-bundler som ikke innholder siste versjoner av alt så kunne man ikke kjøre script-bundler på Domeneshop.
Det er ikke latterlig at ikke Wordpress oppdaterer en trygg versjon.

 

[Jiberish]

Det er vel et problem å gjenåpne et webhotell som inneholder sikkerhetshull når det fra før har vært utnyttet?

Jeg har selv oppdatert PHPMailer for kunder og det har ikke vært en større jobb enn å erstatte eksisterende filer med de oppdaterte filene fra Github:

https://github.com/PHPMailer/PHPMailer

 

[Tonny Kluften]

Timthumb var synderen her.
PHPMailer er ikke et sikkerhetshull, Domeneshop ser ikke på den som farlig heller. De bare vet at PHPMailer har en nyere versjon.

Wordpress bruker ikke filene du får på github, de lager en egen fil, class-phpmailer.php, hvor de bruker det de trenger.

 

[Jiberish]

Ok.

Hmm...merkelig jeg har løst det tidligere bare ved å erstatte innholdet i filene. WP sine relaterte funksjoner kjørte fint etter det også. Var kanskje heldig.

 

[Tonny Kluften]

Det går helt sikkert an å ordne det på en måte, men jeg har ikke lyst til at firmaet må betale meg for å sitte å sortere ny og gammel kode når det ikke er en trussel. Datasikkerhet koster verden alt for mye allerede, å oppdatere kode uten sikkerhetshull er sikkerhetstull.

 

[Pong]

Hvem var det som kom fram at class-phpmailer.php var problemet?
At timthumb er et problem er jo kjent i lang tid.

Kan det være at "de onde" fikk tilpasset phpmailer gjennom timthumb?

 

[Tonny Kluften]

Det er ingen som sier at class-phpmailer.php er et problem. Men Domeneshop ser at versjonen som brukes i Wordpress er 5.2.7. Og de har da funnet ut at nyeste versjon er 5.2.8 og krever derfor at den oppdateres. Eneste grunnen til at de krever det er at det finnes en nyere versjon.

Men jeg bruker ikke mer tid på å diskutere dette med Domeneshop nå, jeg bare endrer versjonsangivelsen i fila fra 5.2.7 til 5.2.8 så er alle fornøyd

 

[Pong]

Bumper denne fremfor å lage en ny tråd, da jeg akkurat fikk en melding fra DS at det er et problem med PHPMailer (sikker relatert til http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8476).
Skal legge ut en oppdatering for WP-installasjonene det gjelder.

 

[Pong]

WP4.4.1 fikser dette.