ニュースソース:nakedsecurity by SOPHOS
※以下の文章は、PHPMailer could put your website at risk: here’s what you need to know を要約したものです。
PHPMailerで脆弱性が見つかりました。
PHPMailerは多くのWebアプリケーションに使われており、以下のようなメール送信キットにも使われています。
- ダウンロードアドレスの通知
- サポートチケット番号の通知
- メーリングリスト加入承認通知
- アカウント登録完了通知
PHPでこうした機能を使っている場合PHPMailerが利用されている可能性があります。
PHPMailerはモジュールとして多くの有名なPHPアプリケーションで使われています。
今回見つかった脆弱性は、Web の入力フォームにコマンドを入力することで sendmail プログラムにコマンドを実行させるという、いわゆるコマンドインジェクションを利用した攻撃です。PHP スクリプトをメール本文内に組み込み、遠隔からのサーバー操作を可能にします。
概略以下のような手順で実行されます。
- “logfile”オプションを埋め込んだ電子メールアドレスを指定します。
- PHP スクリプトをメール本文内に組み込みます。
- サーバーはメールを処理し、PHP スクリプトが組み込まれた”logfile”を作成します。
- PHP スクリプトが組み込まれた”logfile”に外部からアクセスします。
- サーバーが PHP スクリプトを実行します。
対応策はgithubからPHPMailerの最新版をダウンロードすることです。
PHPMailerはWordPressをはじめとするPHPを利用したアプリケーションの多くに組み込まれています。
WordPressではPHPMailerが攻撃を受けたことは報告されていませんが、Zend、Drupalなどでは脆弱性悪用が報告されています。
PHPアプリケーションを利用していて、そこでPHPMailerが利用されているかどうかわからない場合は、アプリケーションベンダーに問い合わせることをお勧めします。
このようなサイトの脆弱性を突かれないために、セキュリティアップデートには十分に注意しましょう。