PHPMailerの脆弱性CVE-2016-10033について解析した
エグゼクティブサマリ PHPMailerにリモートスクリプト実行の脆弱性CVE-2016-10033が公表された。攻撃が成功した場合、ウェブシェルが設置され、ウェブサーバーが乗っ取られる等非常に危険であるが、攻撃成功には下記の条件が必要であることがわかった PHPMailer 5.2.17以前を使っている Senderプロパティ(エンベロープFrom)を外部から設定できる 現在出回っているPoCはMTAとしてsendmailを想定しており、postfixを使っている環境では問題ない 対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。 はじめに 12月24日にPHPMalerの脆弱性CVE-2016-10033が公表され、とんだクリスマスプレゼントだと話題になっています。 PHPからのメール送信に広く使われているライブラリの「PHPMai
コーポレート・アイデンティティについて - not simple
この文は、年始に会社でコーポレート部門にデザインの話をするという機会が発生したため、せっかくだしコーポレート・アイデンティティ(CI)の話をしようかな、という安易な発想のもと書かれました。 わかりやすさ重視のため、学術的には不正確な表現を多用しますが、どうぞよろしくお願いします。 そもそもの話 CIの話をすると「ロゴガイドラインを守ってればいいんでしょ」みたいな話になりがちです。僕がデザイナーであるというのも悪影響してると思います。一貫したロゴやデザインを使用することは、CIをマネジメントする手段に過ぎず、本質ではありません。 CIとは CIとはなんなのか? CIは色々な分野で研究されていて、その研究分野ごとに少しずつ違う解釈があったりしてつらいのですが、ここでは単純に「企業の同一性」という概念のこと、として話を進めます。 もう少し崩していうと「企業の人格・立ち振る舞い・見た目・印象」のこ
激しくありがとう!「前略プロフィール」開発者独占インタビュー
前略 「前略プロフィール」様 貴方がこの記事を読む頃は、もうサービスが完全終了されていると存じます。 2016年も、残りわずか。 今年もインターネット界隈では、さまざまなニュースが伝えられてきました。 その中でも「前略プロフィール」のサービス終了は、ひとつの時代を象徴するようなエンドであったと思わずにいられません。 申し遅れました、わたくし堀宏美と申します。 SnapeeeというアジアF1層1,200万人を誇るアプリのサービス終了に携わり(これまた2016年5月にサービス終了)、縁あって「kakeru」でコンサルタントをしております。 一世を風靡した「前略プロフィール」というサービスに敬意を込めて、開発者・ユーザの2つの視点からインタビューを行いました。 まずはこの記事を第一弾として献上させていただきます。 草々 プロフィールサイトの先駆け!「前略プロフィール」開発秘話とは? こちらの方が
NAVERまとめとCGMが抱える問題 「プロバイダ責任制限法」は誰の味方か(鳴海淳義 BuzzFeed)
一方で問題もあった。まとめ作成者が作ったまとめの中には、明らかに他者の著作権を侵害しているものが散見された。LINE側はコンテンツの監視を十分に行い、不適切なものは削除していると表明しているが、それでも、残っているものは残っている。 事実、メディア関係者や個人ブロガーなどからはNAVERまとめにコンテンツを盗用されたという声が多く挙がっており、なおかつ、その後の対応に誠実さが見られないという非難も寄せられている。 クマムシ博士はLINE株式会社に抗議します - クマムシ博士のむしブロ NAVERまとめがサービスを見直すべき3つの理由 このような外部の反応は、DeNAのキュレーション問題が発覚したこの数ヶ月の間に発生したわけではない。ここ数年ずっと言われていたことだ。それがこのタイミングで顕在化しただけである。 キュレーションは、常に問題を抱えていた。 それを認識していたからか、LINEは1
PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲 - Qiita
今回の脆弱性 CVE-2016-10033 CVE-2016-10045 CVE-2016-10074(Swift Mailer) 追記 2016/12/28 14:15 Postfixを使っていて、sendmailコマンドの代わりにPostfixのsendmailコマンドを使っている場合は、Postfixのsendmailコマンドが -X オプションを無視するようですので大きな影響を受けないと思います。ただ、別のオプションで違う脆弱性が発生する可能性もあるので、PHPMailerはアップデートしたほうが良いですね。 2016/12/28 15:35 PHPMailer5.2.18の修正を回避する新しい攻撃が見つかり、 CVE-2016-10045として登録されその攻撃方法も公開されてます。こちらはPHPMailer5.2.21で対応されています。 この攻撃は、PHPMailer5.2.1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
