WordPressも採用するPHPMailerに脆弱性発見

PHPを利用してメール送信する際によく使われるPHPMailerに脆弱性が発見されたことが各所で報じられている。発見者によれば、この脆弱性を利用すると任意のコードを実行できるとのこと(参考:「PHPMailer」に重大な脆弱性、直ちにパッチ適用を)。

PHPMailerはWordPressなど、数多くのPHPベースアプリケーションで採用されているライブラリであるため、影響は大きそうだ。うまくググれば攻撃コードを入手することもできる。

脆弱性を持つPHPMailerのバージョンは5.2.18未満。なんと、最新のWordPress4.7でもPHPMailerは5.2.14なので、この脆弱性は存在している。

現在、コアのTracではこの脆弱性に関するチケットが乱立している状況だが、パッチ自体はすでに存在しており(Update PHPMailer to 5.2.19)、あとは採用してリリースするだけだ。

パッチ自体はすでに存在する。

ちなみに、このサイトCapital Pにもこの脆弱性は存在するのだが、パッチを適用せず、WordPressのセキュリティリリースを待ってみようと思う。もしWordPressのアップデートよりも先にこのサイトがクラックされた場合、読者は他山の石とし、熱心にセキュリティ対策をしていただきたい。

追記(2016/12/28 18:30)

その後の調査によって、WordPress がこのセキュリティホールによる影響をうけるには、サードパーティのプラグインがビルトインの wp_mail() を利用していない場合に限ることがわかってきた。

たとえば Contact Form 7 は、wp_mail() を使用しているので、このセキュリティホールの影響を受けない。

http://blog.tokumaru.org/2016/12/PHPMailer-Vulnerability-CVE-2016-10033.html

コアチームのSlackでも以下のようなコメントが述べられている。

We’re aware of the ongoing PHPMailer saga and are following along. WordPress Core / `wp_mail` is not vulnerable to the disclosed issues, although we’re awaiting further details from reporters.

「私たちは PHPMailer の問題について把握しており、それに対処しています。WordPress本体及び `wp_mail` は報告されている問題に対して脆弱ではありませんが、報告者からの詳細を待っています。」

いずれにせよ、近日中にアップデートされる模様。

追記(2016/12/28 20:30)

Drupal 本体は、このライブラリを使用していないことがわかったので修正した。Drupal先輩すみませんでした。

追記(2016/12/28 23:40)

WordPress のリードディベロッパーの一人、Dion Hulse 氏によって、Trac に以下の内容のコメントが投稿された。

https://core.trac.wordpress.org/ticket/37210#comment:14

The WordPress Security team is aware of the PHPMailer issues. We’ve been in contact with the author and security researchers and discussing the fixes.

WordPress のセキュリティチームは、PHPMailer の問題を認識しています。私たちは、作者とセキュリティ研究者に連絡をとりこれを修正する方法について議論してきました。

Presently, WordPress Core (and as a result, anything utilising wp_mail()) are unaffected by the recent disclosures, the vulnerabilities require the usage of a PHPMailer feature which WordPress & wp_mail() does not use. This applies to WordPress 4.7, 4.6.x, and all previous secure versions.

現時点で、WordPress 本体(および wp_mail() 関数を利用しているもの)は、この脆弱性の影響をうけておらず、この脆弱性は wp_mail() 関数を利用しないで、PHPMailer の関数を直接コールしているものに限定されます。これは WordPress 4.7、4.6 及びそれ以前の全てのセキュアバージョンに適用されます。

A note on plugins: If plugins are correctly utilising wp_mail() they’ll not be affected either, however, if a plugin is doing something wrong, the plugins team will be in contact with the plugin authors.

プラグインに関する注意: もしプラグインが正しく wp_mail() を使用しているのなら、この脆弱性の影響はうけません。プラグインが何か誤った使い方をしている場合は、プラグインチームはプラグイン作者と連絡を取ります。

The upcoming 4.7.1 release will contain mitigation for these issues, we’re committed to only shipping secure libraries with WordPress – regardless of whether we use the feature or not.

まもなくリリースされる 4.7.1 では、この問題に対する緩和策が含まれます。私たちは、実際にそれが利用されているかどうかに関わらず、安全なライブラリのみを WordPress に同梱します。

We don’t have any specific timing details to share at present, however the preparations for a 4.7.1 release was already underway when we learnt about the issues.

現時点で、具体的なスケジュールについて共有できるものはありませんが、私たちがこの懸案事項について学んだ瞬間から 4.7.1 のリリースの準備はすでに進行しています。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください