日次アーカイブ: 2016年12月28日

いやー、年の瀬ですねー。うるう秒対策でクッソ忙しいってときにコレですよ。どこぞのプラグインが影響するんだろうなーと思っていたら、WordPressのコアも影響しやがりますよ。

※ 2016/12/28 16:30 続報

PHPMailerの脆弱性CVE-2016-10033について解析した | 徳丸浩の日記

から引用しますと、攻撃成功には下記の条件が必要だそうです。

  • Senderプロパティ(エンベロープFrom)を外部から設定できる
  • 現在出回っているPoCはMTAとしてsendmailを想定しており、postfixを使っている環境では問題ない

最近のLinuxディストリビューションだとデフォルトのMTAはPostfixなので、WordPress コアのアップデートをするまでは「脆弱性はあるけど発動しない」ということになりそうですね。なので、アップデートがリリースされたら素直にアップデートするが吉です。

…続きを読む