PHPMailerの脆弱性CVE-2016-10033について解析した

エグゼクティブサマリ PHPMailerにリモートスクリプト実行の脆弱性CVE-2016-10033が公表された。攻撃が成功した場合、ウェブシェルが設置され、ウェブサーバーが乗っ取られる等非常に危険であるが、攻撃成功には下記の条件が必要であることがわかった PHPMailer 5.2.17以前を使っている Senderプロパティ（エンベロープFrom）を外部から設定できる 現在出回っているPoCはMTAとしてsendmailを想定しており、postfixを使っている環境では問題ない 対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。 はじめに 12月24日にPHPMalerの脆弱性CVE-2016-10033が公表され、とんだクリスマスプレゼントだと話題になっています。 PHPからのメール送信に広く使われているライブラリの「PHPMai

[sho]

"RFC5322等に適合している" 一般的な仕様に則ったバリデーションでは防げないということですね。バリデーションだけではセキュリティ対策にならないことがよくわかります。

[ockeghem]

取り急ぎ書きました

[fashi]

Senderにユーザー入力値を指定するアプリってどんなんだろう

[stealthinu]

徳丸さんのPHPMailer脆弱性についてのまとめが出た。とりあえずPostfixのsendmailコマンド使ってる分には「現時点では」大丈夫っぽいという認識でみんな一致しつつある。@ttkzwさんの予言が当たってた。ありがたい。

[rryu]

quoted-stringをちゃんと解釈する系だと中になんでも書けるから後はエスケープの問題になるのか。PHPにもシェルを介さない実行方法があれば……

[kzm1760]

"sendmailコマンドの-Xオプション（MTAのログを-Xで指定したファイルに出力する）を用いたものですが、postfixのsendmailラッパーでは-Xオプションは無効化されているため、攻撃の影響を受けません。"

[KoshianX]

空白かあ……。これがバリデーション通っちゃうの怖いなあ……

[n314]

これ素のmail()関数だと明らかにコマンドオプションを渡してる説明だけれど、PHPMailerだとsetFrom()関数で意図せず設定されてしまうのが問題な気がする。

[shag]

よくわかる解説

[junjun]

はてブのお勧めタグにCVE番号がでてくるのをはじめて見ました。

[TsuSUZUKI]

cf. http://internet.watch.impress.co.jp/docs/news/1037077.html , http://internet.watch.impress.co.jp/docs/news/1037370.html

[azumakuniyuki]

“血沸き肉踊ります”

[b-wind]

“対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。”

[rti7743]

ユーザが自由にFrom書き換えられるなんていうのはあまりないから、影響は限定的なんじゃないかな。それにしても、PHPは、コマンド実行ではなくてSMTP/SMTPSな送信ルーチンを本体に組み込んでもいいんじゃないかと思う。

[matsumoto_r]

“postfixのsendmailラッパーでは-Xオプションは無効化されているため、攻撃の影響を受けません。私の気づいていない他の攻撃経路の可能性はあり”

[tmtms]

「PHPMaier」→「PHPMailer」

[deep_one]

「Senderプロパティを設定しない、あるいは固定にする（強く推奨）」／エスケープは二回してはいけない…／（なんで「徳丸さん」になっているのかと思ったら、引用部分だった（笑））