「PHPMailer」に重大な脆弱性……ってこれ、WordPressやDrupalでも使われてる! →大丈夫そう

  • 46
    いいね
  • 4
    コメント

サンタさんが私たちにサイトの安全性をプレゼントしてくれたよ。
年末年始休業と引き換えにね。

PHPの人気ライブラリ「PHPMailer」にRemote Code Executionの脆弱性が出た。

更新情報

2016/12/27 14:15 「マジヤバイ」と声に漏らしながら初投稿。
2016/12/27 14:29 「WordPress本体のバージョンアップ」追加。
2016/12/27 18:36 「Drupalについて」追加。ただ詳しくないのでご意見頂きたく
2016/12/28 17:12 「諸先輩方のQiita記事」を追加。色々と状況が動いてる
2017/01/01 18:34 「PHPMailer」の脆弱性、「WordPress」などでは悪用できず,のリンクを追加。伴い、タイトル修正。
2017/01/23 15:45 「WordPress 4.7.1」の話を追記。

とりあえず落ち着いてこれを見ろ

「PHPMailer」に重大な脆弱性、直ちにパッチ適用を

PHPからのメール送信ライブラリ「PHPMailer」に脆弱性、米SANS ISCが注意喚起

WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla!など、多くのオープンソースプロジェクトに使われており、およそ900万のユーザーに利用されているという。

詳細はCVEを確認

CVE-2016-10033

WordPressについて

Critical Vulnerability in PHPMailer. Affects WP Core.

#37210 (Update PHPMailer to 5.2.19) – WordPress Trac

WordPressの中の人も当然把握済み。
対策済みのphpmailer v5.2.19を使わせる.patchファイルがダウンロードできます。が。

追記:
「PHPMailer」の脆弱性、「WordPress」などでは悪用できず

コア部分で提供されている関数「wp_mail()」を利用している限り、今回公開された脆弱性の影響を受けないとコメント。

バニラのWPや、著名なプラグインで利用している場合は大丈夫そう。
wp_mail()を使わずPHPMailerを直で叩くお行儀の悪いプラグインが存在しないことを祈りましょう。

WordPress本体のバージョンアップ

いつになるかな。4.7.1が登場すると考えます。 → 1/12に出ました。
直接影響はないものの、本件に関するセキュリティリリースとして発表された。他にもCSRFやXSSの脆弱性も潰されているので、更新しましょう。

https://wordpress.org/news/
https://ja.wordpress.org/news/

Drupalについて

Drupal 6 workaround for the highly critical vulnerability in PHPMailer

「とりまセキュリティリリースが出るまで、危険なコード削除しとくこと勧めますわ」とのこと。

追記:
「PHPMailer」の脆弱性、「WordPress」などでは悪用できず

「Drupal」に関しても、「Core」部分に関しては影響を受けないと説明。

諸先輩方のQiita記事

PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲

PHPMailerの脆弱性CVE-2016-10033はWordPressにどの程度影響するのだろうか