多くのPHPアプリに組み込まれているPHPMailerに脆弱性

ニュースソース:nakedsecurity by SOPHOS

※以下の文章は、PHPMailer could put your website at risk: here’s what you need to know を要約したものです。

PHPMailerで脆弱性が見つかりました。
PHPMailerは多くのWebアプリケーションに使われており、以下のようなメール送信キットにも使われています。

  • ダウンロードアドレスの通知
  • サポートチケット番号の通知
  • メーリングリスト加入承認通知
  • アカウント登録完了通知

PHPでこうした機能を使っている場合PHPMailerが利用されている可能性があります。
PHPMailerはモジュールとして多くの有名なPHPアプリケーションで使われています。

今回見つかった脆弱性は、Web の入力フォームにコマンドを入力することで sendmail プログラムにコマンドを実行させるという、いわゆるコマンドインジェクションを利用した攻撃です。PHP スクリプトをメール本文内に組み込み、遠隔からのサーバー操作を可能にします。
概略以下のような手順で実行されます。

  1. “logfile”オプションを埋め込んだ電子メールアドレスを指定します。
  2. PHP スクリプトをメール本文内に組み込みます。
  3. サーバーはメールを処理し、PHP スクリプトが組み込まれた”logfile”を作成します。
  4. PHP スクリプトが組み込まれた”logfile”に外部からアクセスします。
  5. サーバーが PHP スクリプトを実行します。

対応策はgithubからPHPMailerの最新版をダウンロードすることです。

PHPMailerはWordPressをはじめとするPHPを利用したアプリケーションの多くに組み込まれています。
WordPressではPHPMailerが攻撃を受けたことは報告されていませんが、Zend、Drupalなどでは脆弱性悪用が報告されています。

PHPアプリケーションを利用していて、そこでPHPMailerが利用されているかどうかわからない場合は、アプリケーションベンダーに問い合わせることをお勧めします。
このようなサイトの脆弱性を突かれないために、セキュリティアップデートには十分に注意しましょう。