質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.99%

Wordpress等で発生した脆弱性【PHPMailer(CVE-2016-10033)】の影響確認方法

解決済

回答 3

投稿 編集

  • 評価
  • クリップ 4
  • VIEW 2,750

te2ji

score 17921

Wordpress等多くのCMSで使用されている、PHPMailerで深刻な脆弱性が発見されました。
Critical security update: PHPMailer 5.2.18 (CVE-2016-10033)

ざっと読んだ限りですが、かなり深刻に思えます。

攻撃を受けたかどうかの判断ができる特徴的なログは残されるものでしょうか?

また、攻撃をうけたかどうかの判断ができない場合、対応としてはOSからのクリーンインストールしか手は無いのでしょうか?

私自身の緊急度はそれほど高くないのですが、情報共有の意味も込め、質問しました。
詳しい方、コメントいただけると幸いです。

 追記1

この方が追いかけてくれそうなので、ウオッチの為、リンクを貼っておきます。
【更新中】「PHPMailer」に重大な脆弱性……ってこれ、WordPressやDrupalでも使われてるじゃねーか!

 追記2

私自身はソースを追いかけたり、検証したりしてませんが、識者の方が影響を確認してくれています。
PHPMailerの脆弱性CVE-2016-10033について解析した-徳丸浩の日記
最終的にVerUP等の対応を取ったほうが良いことに変わりは無いのですが、現状影響を受けるシステムは少ないかもしれません。

送信時に、返信用アドレスを設定させるようなシステムが影響を受けるので、そのようなシステムを運営している人は、ちゃんと追いかける必要がありそうです。

 追記3(2017/05/08)

どうやら、一部のWordPress に脆弱性が追加で確認されたようです。
PHPMailerの脆弱性CVE-2016-10033はExim4やWordPress4.6でも影響があった
内容を見ると、影響を受ける人はごく限られた人のようですが、やはり、アプリケーションは update を続けないと怖いですね。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+4

質問への回答ではないですが、Make WordPress に Patch が用意されているので、取り急ぎ適用する場合は、こちらから。

Update PHPMailer to 5.2.19
https://core.trac.wordpress.org/ticket/37210

$ cd /var/www/vhosts/wordpress/
$ wget https://core.trac.wordpress.org/raw-attachment/ticket/37210/0001-Upgrade-PHPMailer-from-5.2.14-to-5.2.19.patch
$ patch -p1 < 0001-Upgrade-PHPMailer-from-5.2.14-to-5.2.19.patch
$ rm ./0001-Upgrade-PHPMailer-from-5.2.14-to-5.2.19.patch

SSH でサーバーにログインして、こんな感じで適用できると思います。

 追記 1

徳丸さんによると "対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。" とのことです。

PHPMailerの脆弱性CVE-2016-10033について解析した

 追記 2

PHPMailer 5.2.21がリリースされているみたいです。
https://github.com/PHPMailer/PHPMailer/releases

WordPress の diff ファイルはこちらです。
https://core.trac.wordpress.org/attachment/ticket/37210/37210v4.diff

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/12/28 09:22

    穴をふさぐのはそれほど難しくないみたいですね。
    少しでも早くふさいでおくのが正ですね。
    情報ありがとうございます。

    キャンセル

  • 2016/12/29 09:20

    追記ありがとうございます。思った以上に攻撃手段が限定的なので、少しホッとしています。
    過剰に心配はせず、出てきたパッチを淡々とあてるぐらいの騒ぎ方で良さそうですね。

    キャンセル

  • 2017/01/03 10:33

    攻撃条件に
    ・Senderプロパティ(エンベロープFrom)を外部から設定できる
    が確認されて、一気に影響範囲が限定されました。

    とりあえず、情報共有の意味でのこの質問は役割を終えたと考えます。
    ご協力ありがとうございました。

    今回は、BAつけづらいのですが、最初に協力してくれた kuck1u さんとさせていただきます。

    キャンセル

+4

5.2.19にも脆弱性があるようなので5.2.20を待つ必要があります。
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/12/29 02:00

    事態がいろいろ動いているみたいですね。
    今日から休みの人も多いだろうに。。。

    情報ありがとうございます。

    キャンセル

  • 2017/01/03 10:34

    ご協力ありがとうございました。
    とりあえず、情報共有の意味でのこの質問は役割を終えたと考えます。

    今回は、BAつけづらいのですが、最初に協力してくれた kuck1u さんとさせていただきます。

    キャンセル

+2

「WordPress標準のwp_mail()関数を使っていれば影響はない」らしいです。

【PHPMailerのリモートコード実行脆弱性 | ほぼWebエンジニアリング】
http://munyagu.com/1118/

WordPress本体もこのモジュール由来のコードを使っているとのことですが、WordPress標準のwp_mail()関数を使っていれば影響はないようです。
https://core.trac.wordpress.org/ticket/37210#trac-change-14-1482913077988770
「This applies to WordPress 4.7, 4.6.x, and all previous secure versions.」とありますので、過去のバージョンについても問題はなさそうです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/12/29 22:05

    脆弱性公開当初、任意のコードを実行可能な脆弱性ということで、かなり注視しましたが、実影響は限定的になりそうですね。
    ただ、プラグインやばいのもありそうな気がしますが。。。

    情報ありがとうございます。

    キャンセル

  • 2017/01/03 10:34

    ご協力ありがとうございました。
    とりあえず、情報共有の意味でのこの質問は役割を終えたと考えます。

    今回は、BAつけづらいのですが、最初に協力してくれた kuck1u さんとさせていただきます。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.99%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる