Transcript Scarica il bollettino PDF

Computer Emergency Response Team
BOLLETTINO IT-CERT.170103.B01
Vulnerabilità in PHPMailer
(CVE-2016-10033, CVE-2016-10045)
Doc.: IT-CERT.170103.B01
ver. 1.0 del 03/01/2017
Pagina 1 di 4
DESCRIZIONE
PHPMailer è una libreria PHP con funzioni complete per la creazione e l’invio di messaggi di Email.
È stata scoperta una vulnerabilità di gravità elevata in PHPMailer (CVE-2016-10033) che potrebbe
consentire ad un attaccante remoto non autenticato di eseguire codice arbitrario nel contesto del server
Web con conseguente potenziale compromissione dell’applicazione Web bersaglio. Un attaccante potrebbe
sfruttare questa vulnerabilità inserendo un indirizzo Email malformato appositamente predisposto in un
campo di un form HTML in un sito Web che utilizza una versione vulnerabile di PHPMailer. Se sfruttata con
successo, questa vulnerabilità può consentire di iniettare parametri arbitrari nella funzione mail() di PHP
ed ottenere l’esecuzione di funzioni PHP arbitrarie sul server.
Al momento non ci sono notizie che questa vulnerabilità sia stata sfruttata in attacchi reali, anche se un
exploit Proof-of-Concept è stato reso pubblicamente disponibile.
Successivamente alla pubblicazione di un primo aggiornamento (PHPMailer 5.2.18), è stato dimostrato un
metodo per aggirare la patch ed eseguire comunque codice arbitrario. A questa seconda falla, indicata
come zero-day dai suoi scopritori, è stato assegnato il codice CVE-2016-10045.
Il team di sviluppo di PHPMailer ha reso disponibile un aggiornamento software che risolve entrambe
queste vulnerabilità.
SOLUZIONE
Aggiornare PHPMailer alla versione 5.2.21.
PHPMailer è utilizzato come libreria di terze parti anche in diversi CMS open source (WordPress, Drupal,
Joomla! e altri) e in alcune distribuzioni Linux. Per gli aggiornamenti di questi software si faccia riferimento
agli avvisi di sicurezza dei rispettivi produttori.
Si raccomanda di installare gli aggiornamenti relativi alla propria piattaforma al più presto, dopo
appropriato testing.
SISTEMI
Risultano affette dalla vulnerabilità descritta in questo bollettino le seguenti versioni di PHPMailer:


PHPMailer dalla versione 5.2.13 alla 5.2.18
PHPMailer dalla versione 1.7 alla 1.7.3
Doc.: IT-CERT.170103.B01
ver. 1.0 del 03/01/2017
Pagina 2 di 4
LINK UTILI
PHPMailer
https://github.com/PHPMailer/PHPMailer
SecurityFocus
http://www.securityfocus.com/bid/95108
http://www.securityfocus.com/bid/95130
Legalhackers
http://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-PatchBypass.html
Mitre CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10033
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10045
Doc.: IT-CERT.170103.B01
ver. 1.0 del 03/01/2017
Pagina 3 di 4
VALUTAZIONE CVSS
Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di
pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i
parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common Vulnerabilities
Scoring System), avvalendosi del tool messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm).
Nello specifico, per la sola vulnerabilità CVE-2016-10033 e sulla base di informazioni preliminari soggette ad
aggiornamento sono stati raggiunti i seguenti punteggi su una scala da 0 a 10.



CVSS Base Score 7,5
Impact Subscore 6,4
Exploitability Subscore 10,0
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi.
In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto,
incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino.
La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento
della pubblicazione.
Doc.: IT-CERT.170103.B01
ver. 1.0 del 03/01/2017
Pagina 4 di 4