アカウント名:
パスワード:
http://www.security-next.com/077088 [security-next.com]
「WordPress」のコアに存在するファイルにも「PHPMailer」に由来するコードが含まれていることが判明しているが、同問題に対して「WordPress」のセキュリティチーム関係者は、コア部分で提供されている関数「wp_mail()」を利用している限り、今回公開された脆弱性の影響を受けないとコメント。
一方で「Joomla!」のAPIにて追加で入力値について検証を行っていることから、脆弱性が悪用される心配はないと説明。
「Drupal」に関しても、「Core」部分に関しては影響を受けないと説明。「SMTPモジュール」に関しては「PHPMailer」より作成されたものだが、脆弱性の影響を受けないと説明している。
FWに予め用意されているメール送信関数をそのまま利用する限り、この脆弱性の影響を受けることはない。
問題になるのは、FWを使わず直接PHPMailerを呼び出すような作り方をしている場合。
原因は何かというと、http://blog.tokumaru.org/2016/12/PHPMailer-Vulnerability-CVE-2016-10033.html [tokumaru.org]http://qiita.com/rana_kualu/items/8da66506012c4e9f1729 [qiita.com]外部入力をそのままsetFrom()に突っ込んでメールのFROM欄にした場合に、バリデーションが正しくないせいでOSコマンドインジェクションが発生するというもの。メールのFROM欄なんて普通は固定だから、差出人偽装とか胡散臭いことでもしない限り、この脆弱性の影響を受けることはほとんどない。
返信ありがとうございます。
となると、webページリンク変更とは何か別の問題がありそうですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
実は影響ほとんど無い (スコア:1)
http://www.security-next.com/077088 [security-next.com]
「WordPress」のコアに存在するファイルにも「PHPMailer」に由来するコードが含まれていることが判明しているが、同問題に対して「WordPress」のセキュリティチーム関係者は、コア部分で提供されている関数「wp_mail()」を利用している限り、今回公開された脆弱性の影響を受けないとコメント。
一方で「Joomla!」のAPIにて追加で入力値について検証を行っていることから、脆弱性が悪用される心配はないと説明。
「Drupal」に関しても、「Core」部分に関しては影響を受けないと説明。「SMTPモジュール」に関しては「PHPMailer」より作成されたものだが、脆弱性の影響を受けないと説明している。
FWに予め用意されているメール送信関数をそのまま利用する限り、この脆弱性の影響を受けることはない。
問題になるのは、FWを使わず直接PHPMailerを呼び出すような作り方をしている場合。
原因は何かというと、
http://blog.tokumaru.org/2016/12/PHPMailer-Vulnerability-CVE-2016-10033.html [tokumaru.org]
http://qiita.com/rana_kualu/items/8da66506012c4e9f1729 [qiita.com]
外部入力をそのままsetFrom()に突っ込んでメールのFROM欄にした場合に、バリデーションが正しくないせいでOSコマンドインジェクションが発生するというもの。
メールのFROM欄なんて普通は固定だから、差出人偽装とか胡散臭いことでもしない限り、この脆弱性の影響を受けることはほとんどない。
Re:実は影響ほとんど無い (スコア:2)
返信ありがとうございます。
となると、webページリンク変更とは何か別の問題がありそうですね。