質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
CMS

CMS(Content Management System)は複数のユーザーでコンテンツを編集することが可能なWebサイトの管理/構築用のプラットフォームを指します。また、会社単位で運用管理するものはECMと呼びます。

Joomla!

Joomla!は、Webやイントラネットにおいてコンテンツを公表する為の、オープンソースのコンテンツ管理システム(CMS)です。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

3回答

4282閲覧

Wordpress等で発生した脆弱性【PHPMailer(CVE-2016-10033)】の影響確認方法

退会済みユーザー

退会済みユーザー

総合スコア0

CMS

CMS(Content Management System)は複数のユーザーでコンテンツを編集することが可能なWebサイトの管理/構築用のプラットフォームを指します。また、会社単位で運用管理するものはECMと呼びます。

Joomla!

Joomla!は、Webやイントラネットにおいてコンテンツを公表する為の、オープンソースのコンテンツ管理システム(CMS)です。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

5グッド

4クリップ

投稿2016/12/27 19:27

編集2017/05/08 00:30

Wordpress等多くのCMSで使用されている、PHPMailerで深刻な脆弱性が発見されました。
Critical security update: PHPMailer 5.2.18 (CVE-2016-10033)

ざっと読んだ限りですが、かなり深刻に思えます。

攻撃を受けたかどうかの判断ができる特徴的なログは残されるものでしょうか?

また、攻撃をうけたかどうかの判断ができない場合、対応としてはOSからのクリーンインストールしか手は無いのでしょうか?

私自身の緊急度はそれほど高くないのですが、情報共有の意味も込め、質問しました。
詳しい方、コメントいただけると幸いです。

追記1

この方が追いかけてくれそうなので、ウオッチの為、リンクを貼っておきます。
【更新中】「PHPMailer」に重大な脆弱性……ってこれ、WordPressやDrupalでも使われてるじゃねーか!

追記2

私自身はソースを追いかけたり、検証したりしてませんが、識者の方が影響を確認してくれています。
PHPMailerの脆弱性CVE-2016-10033について解析した-徳丸浩の日記
最終的にVerUP等の対応を取ったほうが良いことに変わりは無いのですが、現状影響を受けるシステムは少ないかもしれません。

送信時に、返信用アドレスを設定させるようなシステムが影響を受けるので、そのようなシステムを運営している人は、ちゃんと追いかける必要がありそうです。

追記3(2017/05/08)

どうやら、一部のWordPress に脆弱性が追加で確認されたようです。
PHPMailerの脆弱性CVE-2016-10033はExim4やWordPress4.6でも影響があった
内容を見ると、影響を受ける人はごく限られた人のようですが、やはり、アプリケーションは update を続けないと怖いですね。

bezeklik, kei344, tonarino210, s8_chu, daisy👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

5.2.19にも脆弱性があるようなので5.2.20を待つ必要があります。
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html

投稿2016/12/28 16:20

newbiemstr

総合スコア43

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/12/28 17:00

事態がいろいろ動いているみたいですね。 今日から休みの人も多いだろうに。。。 情報ありがとうございます。
退会済みユーザー

退会済みユーザー

2017/01/03 01:34

ご協力ありがとうございました。 とりあえず、情報共有の意味でのこの質問は役割を終えたと考えます。 今回は、BAつけづらいのですが、最初に協力してくれた kuck1u さんとさせていただきます。
guest

0

ベストアンサー

質問への回答ではないですが、Make WordPress に Patch が用意されているので、取り急ぎ適用する場合は、こちらから。

Update PHPMailer to 5.2.19
https://core.trac.wordpress.org/ticket/37210

bash

1$ cd /var/www/vhosts/wordpress/ 2$ wget https://core.trac.wordpress.org/raw-attachment/ticket/37210/0001-Upgrade-PHPMailer-from-5.2.14-to-5.2.19.patch 3$ patch -p1 < 0001-Upgrade-PHPMailer-from-5.2.14-to-5.2.19.patch 4$ rm ./0001-Upgrade-PHPMailer-from-5.2.14-to-5.2.19.patch

SSH でサーバーにログインして、こんな感じで適用できると思います。

追記 1

徳丸さんによると "対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。" とのことです。

PHPMailerの脆弱性CVE-2016-10033について解析した

追記 2

PHPMailer 5.2.21がリリースされているみたいです。
https://github.com/PHPMailer/PHPMailer/releases

WordPress の diff ファイルはこちらです。
https://core.trac.wordpress.org/attachment/ticket/37210/37210v4.diff

投稿2016/12/27 23:51

編集2016/12/28 17:27
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/12/28 00:22

穴をふさぐのはそれほど難しくないみたいですね。 少しでも早くふさいでおくのが正ですね。 情報ありがとうございます。
退会済みユーザー

退会済みユーザー

2016/12/29 00:20

追記ありがとうございます。思った以上に攻撃手段が限定的なので、少しホッとしています。 過剰に心配はせず、出てきたパッチを淡々とあてるぐらいの騒ぎ方で良さそうですね。
退会済みユーザー

退会済みユーザー

2017/01/03 01:33

攻撃条件に ・Senderプロパティ(エンベロープFrom)を外部から設定できる が確認されて、一気に影響範囲が限定されました。 とりあえず、情報共有の意味でのこの質問は役割を終えたと考えます。 ご協力ありがとうございました。 今回は、BAつけづらいのですが、最初に協力してくれた kuck1u さんとさせていただきます。
guest

0

「WordPress標準のwp_mail()関数を使っていれば影響はない」らしいです。

【PHPMailerのリモートコード実行脆弱性 | ほぼWebエンジニアリング】
http://munyagu.com/1118/

WordPress本体もこのモジュール由来のコードを使っているとのことですが、WordPress標準のwp_mail()関数を使っていれば影響はないようです。

https://core.trac.wordpress.org/ticket/37210#trac-change-14-1482913077988770
「This applies to WordPress 4.7, 4.6.x, and all previous secure versions.」とありますので、過去のバージョンについても問題はなさそうです。

投稿2016/12/29 12:32

kei344

総合スコア69364

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2016/12/29 13:05

脆弱性公開当初、任意のコードを実行可能な脆弱性ということで、かなり注視しましたが、実影響は限定的になりそうですね。 ただ、プラグインやばいのもありそうな気がしますが。。。 情報ありがとうございます。
退会済みユーザー

退会済みユーザー

2017/01/03 01:34

ご協力ありがとうございました。 とりあえず、情報共有の意味でのこの質問は役割を終えたと考えます。 今回は、BAつけづらいのですが、最初に協力してくれた kuck1u さんとさせていただきます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問