×
セキュリティ

全世界900万ユーザーの人気PHPメール送信ライブラリ「PHPMailer」に脆弱性、対策パッチは公開済み


PHPからメールを送信する際に広く使われているライブラリである「PHPMailer」で、重大な脆弱性が発見されました。すでに対策用のパッチが公開されており、速やかなアップデートが推奨されています。

Critical PHPMailer Flaw leaves Millions of Websites Vulnerable to Remote Exploit
http://thehackernews.com/2016/12/phpmailer-security.html

PHPMailerはメール用ソフトウェアを使わずにメールを送信する際に用いられているオープンソースのPHPライブラリです。ウェブサイトでよく見かける、コメント欄や記入フォームからメールを送信する際などに広く用いられており、全世界で900万ユーザーに使用されているという、人気のライブラリです。

今回の脆弱性を発見したポーランド人セキュリティ専門家のダビド・ゴルンスキ氏が公開した内容によると、この脆弱性を突かれた場合、認証されていないリモートの攻撃者がウェブサーバーユーザーのコンテキストの中で任意のコードを実行して、ターゲットとなるWebアプリケーションに侵入してリモートから制御できる状態になる潜在的な可能性があるとのこと。

PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln
https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html


この件に関する概念実証(PoC:Proof of Concept)も、以下のページで後日公開される予定とのこと。

PHPMailer Exploit - Video PoC
https://legalhackers.com/videos/PHPMailer-Exploit-Remote-Code-Exec-Vuln-CVE-2016-10033-PoC.html


ゴルンスキ氏はすぐにこの問題をライブラリの開発者に連絡しており、対策用のパッチをあてた最新バージョン「PHPMailer 5.2.18.」がGitHubで公開されています。旧バージョンのまま放置して使い続けると悪用される可能性があるため、速やかな対応を行う必要があります。

・関連記事
画像に人間の目には見えないコードを埋め込んで広告が表示されるだけで悪質マルウェアを感染させる「ステガノグラフィー」が発見される - GIGAZINE

iPhoneでJPEG画像やPDFファイルを開くだけでハッキングされる可能性 - GIGAZINE

北朝鮮の独自OS「Red Star」はセキュリティ性能がウリなのにリンクを開かせるだけで簡単にハックできる - GIGAZINE

Wi-Fiルーターの脆弱性を突いて大規模サイバー攻撃用の巨大ボットネットが形成されていた - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by logx_tm