記事へのコメント18

    • 人気コメント
    • 新着コメント
    kzm1760 kzm1760 "sendmailコマンドの-Xオプション(MTAのログを-Xで指定したファイルに出力する)を用いたものですが、postfixのsendmailラッパーでは-Xオプションは無効化されているため、攻撃の影響を受けません。"

    2016/12/29 リンク

    その他
    KoshianX KoshianX 空白かあ……。これがバリデーション通っちゃうの怖いなあ……

    2016/12/29 リンク

    その他
    n314 n314 これ素のmail()関数だと明らかにコマンドオプションを渡してる説明だけれど、PHPMailerだとsetFrom()関数で意図せず設定されてしまうのが問題な気がする。

    2016/12/29 リンク

    その他
    shag shag よくわかる解説

    2016/12/29 リンク

    その他
    ya--mada ya--mada かなりレアな状況だと思っていたけど、phpだと盛り上がるんですかね。

    2016/12/29 リンク

    その他
    junjun junjun はてブのお勧めタグにCVE番号がでてくるのをはじめて見ました。

    2016/12/28 リンク

    その他
    rryu rryu quoted-stringをちゃんと解釈する系だと中になんでも書けるから後はエスケープの問題になるのか。PHPにもシェルを介さない実行方法があれば……

    2016/12/28 リンク

    その他
    TsuSUZUKI TsuSUZUKI cf. http://internet.watch.impress.co.jp/docs/news/1037077.html , http://internet.watch.impress.co.jp/docs/news/1037370.html

    2016/12/28 リンク

    その他
    azumakuniyuki azumakuniyuki “血沸き肉踊ります”

    2016/12/28 リンク

    その他
    b-wind b-wind “対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。”

    2016/12/28 リンク

    その他
    rti7743 rti7743 ユーザが自由にFrom書き換えられるなんていうのはあまりないから、影響は限定的なんじゃないかな。それにしても、PHPは、コマンド実行ではなくてSMTP/SMTPSな送信ルーチンを本体に組み込んでもいいんじゃないかと思う。

    2016/12/28 リンク

    その他
    matsumoto_r matsumoto_r “postfixのsendmailラッパーでは-Xオプションは無効化されているため、攻撃の影響を受けません。私の気づいていない他の攻撃経路の可能性はあり”

    2016/12/28 リンク

    その他
    tmtms tmtms 「PHPMaier」→「PHPMailer」

    2016/12/28 リンク

    その他
    fashi fashi Senderにユーザー入力値を指定するアプリってどんなんだろう

    2016/12/28 リンク

    その他
    sho sho "RFC5322等に適合している" 一般的な仕様に則ったバリデーションでは防げないということですね。バリデーションだけではセキュリティ対策にならないことがよくわかります。

    2016/12/28 リンク

    その他
    stealthinu stealthinu 徳丸さんのPHPMailer脆弱性についてのまとめが出た。とりあえずPostfixのsendmailコマンド使ってる分には「現時点では」大丈夫っぽいという認識でみんな一致しつつある。@ttkzwさんの予言が当たってた。ありがたい。

    2016/12/28 リンク

    その他
    deep_one deep_one 「Senderプロパティを設定しない、あるいは固定にする(強く推奨)」/エスケープは二回してはいけない…/(なんで「徳丸さん」になっているのかと思ったら、引用部分だった(笑))

    2016/12/28 リンク

    その他
    ockeghem ockeghem 取り急ぎ書きました

    2016/12/28 リンク

    その他

    人気コメント算出アルゴリズムの一部にヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    関連記事

    PHPMailerの脆弱性CVE-2016-10033について解析した | 徳丸浩の日記

    エグゼクティブサマリ PHPMailerにリモートスクリプト実行の脆弱性CVE-2016-10033が公表された。攻撃が...

    ブックマークしたユーザー

    • techten2019/04/13 techten
    • b79682017/04/14 b7968
    • elm_arata2017/03/16 elm_arata
    • Nyoho2017/02/03 Nyoho
    • YAA2017/01/14 YAA
    • uretaro2017/01/13 uretaro
    • techman9992017/01/08 techman999
    • ozzwar2017/01/06 ozzwar
    • Kazuhira2017/01/06 Kazuhira
    • k-holy2017/01/04 k-holy
    • reomi20022016/12/31 reomi2002
    • fb2k2016/12/31 fb2k
    • Hiro_Matsuno2016/12/30 Hiro_Matsuno
    • msakamoto-sf2016/12/30 msakamoto-sf
    • lEDfm4UE2016/12/30 lEDfm4UE
    • uuutee2016/12/29 uuutee
    • cmd082016/12/29 cmd08
    • morimop2016/12/29 morimop
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    岩下 敬輔 選手 ガンバ大阪より完全移籍加入のお知らせ | アビスパ福岡公式サイト | AVISPA FUKUOKA Official Website

    2 users https://www.avispa.co.jp/

    AppStoreでドラクエシリーズが33%OFFの期間限定セール(1/5まで) | iPod LOVE

    1 user https://ipod.item-get.com/