ニュース
「PHPMailer」に重大な脆弱性、直ちにパッチ適用を
PHPからのメール送信に使われている、「世界一人気の高いコード」に重大な脆弱性が見つかった。「パッチを適用しないまま放置すれば悪用される」と専門家は警告している。
PHPからのメール送信に広く使われているライブラリの「PHPMailer」に重大な脆弱性が報告され、修正のためのパッチが12月24日付で公開された。悪用されれば任意のコードを実行される恐れも指摘され、米セキュリティ機関のSANS Internet Storm Centerは直ちにパッチを適用するよう呼び掛けている。
脆弱性を発見したセキュリティ研究者ダビド・ゴルンスキ氏によると、PHPMailerは「PHPからメールを送信するための世界一人気の高いコード」で、WordPressやDrupalなど多数のオープンソースプロジェクトに使われている。
今回見つかった脆弱性を突かれれば、Webサイトのコメント欄や登録フォームなど、PHPMailer経由で電子メールを送信する機能を利用して、リモートの攻撃者が任意のコードを実行し、標的とするWebアプリケーションを制御できてしまう恐れがある。コンセプト実証コードも公開された。
この問題はPHPMailerのバージョン5.2.18で修正された。SANSでは「パッチを適用しないまま放置すれば悪用される」と警告し、速やかな対応を促している。
関連記事
- 「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのCGIアプリに影響
PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。 - 「Libarchive」ライブラリに脆弱性、7-Zipなどプログラム多数に影響
「脆弱性の影響は多くのサードパーティープログラムに及び、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能」とされる。 - 企業のオープンソース利用急増、16件中1件に脆弱性など危険増大
企業がダウンロードしているオープンソースコンポーネントの6.1%に既知の脆弱性があり、アプリケーションのコンポーネント分析でも6.8%に脆弱性が見つかった。 - APIフレームワーク「Swagger」に深刻な脆弱性、主要言語に影響
攻撃者が悪質な細工を施したSwagger文書を利用して、クライアントやサーバでリモートからコードを実行し、サービスシステムの定義に干渉できてしまう恐れがあるという。 - Apache Strutsに複数の脆弱性、攻撃実証コードも公開
脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.