- お知らせ
- PHPMailerにおける脆弱性についてのお知らせ(1月24日更新)
お知らせ
レンタルサーバーのWADAX お知らせ PHPMailerにおける脆弱性についてのお知らせ(1月24日更新)
平素はWADAXレンタルサーバーをご利用くださいまして、誠にありがとうございます。
2016年12月25日に、PHPのライブラリとなる「PHPMailer」における
リモートコード実行の脆弱性(CVE識別番号:CVE-2016-10033)が報告されました。
※情報が更新が確認でき次第、随時追記更新をさせていただきます。
■PHPMailerにおける脆弱性の詳細
脆弱性についての影響範囲や対応方法などの詳細は、
以下の開発元、セキュリティ関連団体のWebサイトをご参照ください。
(日本語)
・JVNVU#99931177: PHPMailer に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU99931177/
(英語)
・CVE-2016-10033 - SANS ISC InfoSec Forums
https://isc.sans.edu/forums/diary/Critical+security+update+PHPMailer+5218+CVE201610033/21855/
・PHPmailer 3rd party library -- DRUPAL-SA-PSA-2016-004
https://www.drupal.org/psa-2016-004
■PHPMailerにおける脆弱性の想定される影響
PHPアプリケーション上で任意のコードが実行され、
サイトの乗っ取りや悪意のあるプログラムを設置される可能性があります。
■PHPMailerにおける脆弱性の対象アプリケーション
「PHPMailer」のバージョンが 5.2.20 より前のバージョンで、
WordPressなどのPHPアプリケーションや各種プラグインで
PHPのライブラリの「PHPMailer」を利用されているアプリケーション
■PHPMailerにおける脆弱性の対応
【WordPress】
2017年01月05日現在、
脆弱性対応済みのバージョンは公開されていないようでございます。
提供元からの公開情報をお待ちください。
2017年01月24日更新 脆弱性対応済みのバージョンのWordpress 4.7.1が公開されたようで
詳細は提供元側にご確認ください。
尚、弊社共用サーバーのコントロールパネルで提供しております
Wordpressは、1/19(木)時点でバージョンアップ済となります。
ご利用中のお客様はバージョンご確認の上でアップデート対応を
ご検討いただきますようお願いいたします。
【その他のPHPアプリケーション】
その他のPHPアプリケーションをご利用のお客様におかれましては、
ご利用のプログラムが脆弱性の対象となっていないか、
提供元にてご確認ください。
これからも快適なサービスの提供に努めてまいりますので、お客さまにおかれましても、ご協力のほどよろしくお願い致します。
弊社サーバーを今後ともご愛顧よろしくお願い申し上げます。