kinekoの日記: 「PHPMailer」に重大な脆弱性、直ちにパッチ適用を 2
日記 by
kineko
「PHPMailer」に重大な脆弱性、直ちにパッチ適用を
http://www.itmedia.co.jp/enterprise/articles/1612/27/news058.html
PHPからのメール送信に広く使われているライブラリの「PHPMailer」に重大な脆弱性が報告され、修正のためのパッチが12月24日付で公開された。悪用されれば任意のコードを実行される恐れも指摘され、米セキュリティ機関のSANS Internet Storm Centerは直ちにパッチを適用するよう呼び掛けている。
【重要】PHPMailerにおける脆弱性についての注意喚起
https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1502
2016年12月25日に、PHPMailerにおけるリモートコード実行の脆弱性
(CVE識別番号:CVE-2016-10033)が報告されました。
PHPMailerはPHPのライブラリで、WordPressやDrupalなどのCMS、各種プラグインで利用
されています。対策方法等、詳細は以下をご覧ください。
以下修正と削除。
実は影響ほとんど無い (スコア:1)
http://www.security-next.com/077088 [security-next.com]
「WordPress」のコアに存在するファイルにも「PHPMailer」に由来するコードが含まれていることが判明しているが、同問題に対して「WordPress」のセキュリティチーム関係者は、コア部分で提供されている関数「wp_mail()」を利用している限り、今回公開された脆弱性の影響を受けないとコメント。
一方で「Joomla!」のAPIにて追加で入力値について検証を行っていることから、脆弱性が悪用される心配はないと説明。
「Drupal」に関しても、「Core」部分に関しては影響を受けないと説明。「SMTPモジュール」に関しては「PHPMailer」より作成されたものだが、脆弱性の影響を受けないと説明している。
FWに予め用意されているメール送信関数をそのまま利用する限り、この脆弱性の影響を受けることはない。
問題になるのは、FWを使わず直接PHPMailerを呼び出すような作り方をしている場合。
原因は何かというと、
http://blog.tokumaru.org/2016/12/PHPMailer-Vulnerability-CVE-2016-10033.html [tokumaru.org]
http://qiita.com/rana_kualu/items/8da66506012c4e9f1729 [qiita.com]
外部入力をそのままsetFrom()に突っ込んでメールのFROM欄にした場合に、バリデーションが正しくないせいでOSコマンドインジェクションが発生するというもの。
メールのFROM欄なんて普通は固定だから、差出人偽装とか胡散臭いことでもしない限り、この脆弱性の影響を受けることはほとんどない。
Re:実は影響ほとんど無い (スコア:2)
返信ありがとうございます。
となると、webページリンク変更とは何か別の問題がありそうですね。