2016年12月29日10:15
【脆弱性情報】PHPMailerで致命的な脆弱性が判明!利用中の開発者は要注意!!
こんにちは、たかしーです。
PHPMailerというPHPでメールをやり取りするためのライブラリがあるのですが、先日、このライブラリにリモートで任意のコードが実行できてしまう脆弱性が発覚していました(CVE-2016-10033)
PHPMailerのメール送信機能を利用するウェブサイトのコメント欄や登録フォームに、ある文字列を入力された際に任意のPHPコードをサーバーに設置できてしまうようで、場合によっては、攻撃者にやりたい放題されてしまう可能性があるというもの。
12月24日づけて、PHPMailerの脆弱性対策版(PHPMailer5.2.18)が公開されていますが、27日この脆弱性対策を回避できる脆弱性(CVE-2016-10045)が新たに発見されており、これの対策版はまだ出ていない状況とのことです。
暫定的な対策として、フォームからの入力にしっかりバリデーションをかけていれば防げるとのことなので、心当たりのある方は一度プログラムを見直す必要があるかもしれません。
また、CVE-2016-10045を対策した PHPMailer 5.2.20も現在開発中とのことで、こちらの情報にも注意が必要そうです。
修正版の PHPMailer5.2.21がすでにリリースされているようです。(http://www.security-next.com/077104)
----------------------------------------------------------
参考元:
「PHPMailer」の修正をバイパスできる脆弱性が見つかる、再修正した「5.2.20」は近くリリースの見込み - Internet Watch
PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲 - Qiita
PHPMailerというPHPでメールをやり取りするためのライブラリがあるのですが、先日、このライブラリにリモートで任意のコードが実行できてしまう脆弱性が発覚していました(CVE-2016-10033)
PHPMailerのメール送信機能を利用するウェブサイトのコメント欄や登録フォームに、ある文字列を入力された際に任意のPHPコードをサーバーに設置できてしまうようで、場合によっては、攻撃者にやりたい放題されてしまう可能性があるというもの。
12月24日づけて、PHPMailerの脆弱性対策版(PHPMailer5.2.18)が公開されていますが、27日この脆弱性対策を回避できる脆弱性(CVE-2016-10045)が新たに発見されており、これの対策版はまだ出ていない状況とのことです。
暫定的な対策として、フォームからの入力にしっかりバリデーションをかけていれば防げるとのことなので、心当たりのある方は一度プログラムを見直す必要があるかもしれません。
また、CVE-2016-10045を対策した PHPMailer 5.2.20も
修正版の PHPMailer5.2.21がすでにリリースされているようです。(http://www.security-next.com/077104)
----------------------------------------------------------
参考元:
「PHPMailer」の修正をバイパスできる脆弱性が見つかる、再修正した「5.2.20」は近くリリースの見込み - Internet Watch
PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲 - Qiita
