PHPのescapeshellcmdを巡る冒険はmail関数を経てCVE-2016-10033に至った

エグゼクティブサマリ 2011年始めに徳丸がescapeshellcmdの危険性を指摘したが、この問題はmail関数のadditional_parameters経由で攻撃可能であることが2013年末に指摘された。その後2016年末に、PHPMailerの脆弱性CVE-2016-10033として現実のものとなった 経緯 2011/1/1 徳丸が「PHPのescapeshellcmdの危険性」を書いて、クォート文字がペアになっている場合にエスケープしないという仕様が余計なお世話であり、危険性が生じていることを指摘 2011/1/7 大垣さんがブログエントリ「phpのescapeshellcmdの余計なお世話を無くすパッチ」にて修正案を提示 2011/10/23 廣川さんが、大垣さんのパッチ案を少し修正してbugs.php.netに提案。修正案は却下され、マニュアルを修正することに 2011/1

[mumincacao]

mail() の第５引数が原因なら他のとこでも似たようなの出そうとは思ったところ年末だったから見なかったことにしたのにやっぱり他のらいぶらりでも影響あるのですか・・・ （´・ω【みかん

[kabacsharp]

system() と exec() だけはやめておけ。。。昔ClamAVもウィルス発見時にスクリプトをsystemで呼び出そうとしてたけど、disableされてた。。。

[masudaK]

複雑だ。

[ockeghem]

CVE-2016-10033の歴史的位置づけについて書きました