Affichage des résultats 1 à 1 sur 1
  1. #1
    prof-dormeur-atchoum


    Avatar de opware2000
    Date d'inscription
    octobre 2005
    Localisation
    coins moins paumés dans l'Yonne
    Messages
    10 072
    Remerciements
    269
    Remercié 388 fois
    dans 235 messages

    Lightbulb Vulnérabilité de PHPMailer : le point sur la situation



    • Projet : Joomla!
    • Sévérité : Haute
    • Versions: 1.5.0 à 3.6.5
    • Type d'exploit : Exécution de code à distance dans la bibliothèque tierce PHPMailer
    • CVE : CVE-2016-10033 et CVE-2016-10045

    Description

    Toutes les versions de la bibliothèque tierce PHPMailer distribuée avec les versions de Joomla! jusqu'à 3.6.5 sont vulnérables à une exécution de code à distance. C'est corrigé avec PHPMailer 5.2.20 qui sera inclus avec Joomla! 3.7
    Après analyse, le JSST a déterminé qu'avec l'utilisation correcte de la classe JMail, il existe des validations supplémentaires en place qui rendent l'exécution de cette vulnérabilité irréalisable dans l'environnement Joomla.
    En outre, la vulnérabilité nécessite d'être capable de transmettre le code injecté dans le champ "from" de l'adresse d'un message. Or tous les éléments qui utilisent l'API Joomla de base pour envoyer un email utilisent l'adresse de l'expéditeur définie dans la configuration globale et ne permettent pas que cet utilisateur soit définie ailleurs.
    Toutefois, les extensions qui incluent une version séparée de PHPMailer ou qui n'utilisent pas l'API Joomla pour envoyer des messages électroniques peuvent être vulnérables à ce problème.
    En général, le projet Joomla ne publie pas de mises en garde concernant les bibliothèques tierces. Cependant, étant donné la gravité de ce problème, nous avons jugé important d'avertir nos utilisateurs que nous sommes au courant de ce problème et nous avons déterminé que les validations supplémentaires dans notre API empêchent de déclencher cette vulnérabilité.
    Installations affectées

    Joomla! CMS, des versions 1.5.0 à 3.6.5
    Solution

    Aucune action n'est requise pour les utilisateurs de Joomla, la bibliothèque mise à jour sera incluse dans la prochaine version prévue et des mécanismes supplémentaires existent dans le noyau de Joomla pour empêcher le déclenchement de la vulnérabilité. Il est conseillé aux utilisateurs de bibliothèque PHPMailer séparés de Joomla de passer à la version 5.2.20 ou plus récente, aussi vite que possible.
    Ressources additionnelles


    Contact

    L'équipe JSST : Joomla! Security Centre.
    Article librement traduit de [20161205] - PHPMailer Security Advisory



    Pour en lire plus...
    Dernière modification par opware2000 ; 01/01/2017 à 21h05.

  2. Les 4 membres suivants remercient opware2000 pour ce message :

    herve (30/12/2016),phelibre (30/12/2016),PhMi (30/12/2016),pmleconte (29/12/2016)

Discussions similaires

  1. [News] Phpmailer 5.2
    Par Sirius dans le forum Trucs et astuces
    Réponses: 0
    Dernier message: 26/10/2011, 22h00
  2. logiciel de situation
    Par lagaf007 dans le forum Questions générales
    Réponses: 2
    Dernier message: 25/08/2009, 10h59
  3. [Problème] un point avant et un point après mes menus
    Par Lena32 dans le forum Gestion des menus
    Réponses: 2
    Dernier message: 18/01/2009, 16h45
  4. PhpMailer
    Par daniel.rocher dans le forum Gestion des composants
    Réponses: 1
    Dernier message: 09/05/2006, 20h07

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •