PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲 - Qiita

今回の脆弱性 CVE-2016-10033 CVE-2016-10045 CVE-2016-10074(Swift Mailer) 追記 2016/12/28 14:15 Postfixを使っていて、sendmailコマンドの代わりにPostfixのsendmailコマンドを使っている場合は、Postfixのsendmailコマンドが -X オプションを無視するようですので大きな影響を受けないと思います。ただ、別のオプションで違う脆弱性が発生する可能性もあるので、PHPMailerはアップデートしたほうが良いですね。 2016/12/28 15:35 PHPMailer5.2.18の修正を回避する新しい攻撃が見つかり、 CVE-2016-10045として登録されその攻撃方法も公開されてます。こちらはPHPMailer5.2.21で対応されています。 この攻撃は、PHPMailer5.2.1

[ockeghem]

先を越された…もう一つ条件があるようなんですが、遅いので明日にでも

[DustOfHuman]

外からの入力をメールのFromに突っ込むケースってそんなあるんですかね…？大体サービス側で設定したアドレスのような(よくわかってない)

[uzulla]

年の瀬に大変

[tyru]

拝啓 年の瀬ですが皆様いかがお過ごしでしょうか

[rjge]

年の終わり間際にえぐいの来たな

[dev0000_1]

公開サイトでFromに外部入力値割り当てている時点で相当緩い気もしている。

[kfujii]

うへぇ…

[nimusukeroku]

これはしんどいなぁ

[mumincacao]

From っていうか setFrom() の第３引数がでふぉで Sender が未設定の時に From と同じ値を自動せっとするようになってるのがけっこう踏みそうな感じしたかなぁ？（－ω【みかん

[shields-pikes]

うわぁ。これ、Webフォーム持ってるサイトとか、だいたい当てはまるんじゃないの。こんな年末年始のタイミングに……。

[matsumoto_r]

“PHPMailer5.2.18より下のバージョンで発生します。 フォームからメールアドレスを受け付けて自前バリデーションせずにPHPMailerのFromにセットしている場合に発生する可能性。任意のPHPコードをサーバに設置できる”

[toaruR]

escapeshellarg

[stealthinu]

PHPMailerの脆弱性の件／ttkzwさんの解説で「Sendmail」のsendmailコマンドと-Xオプションが成立条件になりPostfixなら大丈夫そうなので成立条件あたるとこ少ないのではという話。

[ya--mada]

センダーに外部パラメーター入れる？PHPMailerを使ってるフレームワークやらが緩いの？PHPMailerでエスケープしてるから安心とか言ってるのかな？

[n314]

-fオプションにFromを渡すようになっているのか…。これって普通はmailer-daemonとかnoreplyとか固定で設定するし、空ならapacheとかwww-dataとかだよねえ。

[Dai_Kamijo]

温泉宿まで来てSwift Mailerの件をQiitaのブログに追記した。 — cakephper (@cakephper) December 29, 2016 from Twitter https://twitter.com/Dai_Kamijo December 29, 2016 at 06:04PM via IFTTT

[gayou]

使ってるフレームワーク多い。

[mickn]

数日前からスレッドが伸びてたな

[mochizuki_p]

PHPerの皆様。そろそろNode.jsへの移行を検討されては如何でしょうか？

[kaputte]

脆弱性発見は連休近くに来るジンクス

[seidai3]

これは影響でかいぞ…

[Palantir]

年末に脆弱性が見つかるのはなんかそういうムーブメントがあるのかな

[t_motooka]

今日ドタバタしてたやつの詳細情報！

[hasegawatomoki]

今年最大級じゃないかと思うぐらい、すンごい脆弱性。年末に…泣く。