[PHPMailer][WordPress] CVE-2016-10033 対策(暫定)


いやー、年の瀬ですねー。うるう秒対策でクッソ忙しいってときにコレですよ。どこぞのプラグインが影響するんだろうなーと思っていたら、WordPressのコアも影響しやがりますよ。

※ 2016/12/28 16:30 続報

PHPMailerの脆弱性CVE-2016-10033について解析した | 徳丸浩の日記

から引用しますと、攻撃成功には下記の条件が必要だそうです。

  • Senderプロパティ(エンベロープFrom)を外部から設定できる
  • 現在出回っているPoCはMTAとしてsendmailを想定しており、postfixを使っている環境では問題ない

最近のLinuxディストリビューションだとデフォルトのMTAはPostfixなので、WordPress コアのアップデートをするまでは「脆弱性はあるけど発動しない」ということになりそうですね。なので、アップデートがリリースされたら素直にアップデートするが吉です。

以下、2016/12/28 12:00 時点の投稿です。

Critical Vulnerability in PHPMailer. Affects WP Core.

パッチは出ているようですが、WordPressのコアのアップデートは 2016/12/28 09:00 時点では未だのようです。影響するのは DocumentRoot 以下の /wp-includes/class-phpmailer.php ですね。WordPressの中の人も認識はしているので、アップデート待ちますか。

#39397 (Update PHPMailer) – WordPress Trac

しかし(´・_・`)?を見る限り、 wp-includes/class-smtp.php も弄ってるので  wp-includes/class-phpmailer.php と一緒にアップデートするなりパッチ当てるなりしないとダメ?ともんにょりしていますが。ちょっとこれ判断に迷うので、nullpopopo のサイトでは特にお問い合わせフォームなど使っていないことですし、WordPressからそもそもメールを飛ばせないようにしてしまいます。

[kusanagi@marina ~]$ cd <DocumentRootのフルパス>
[kusanagi@marina DocumentRoot]$ chmod 000 wp-includes/class-phpmailer.php

とりまWordPress コアのアップデートを待つことにしますか。

※ 注意

WordPressからメール飛ばせなくなるので、パスワードを忘れると通知する手段がなくなりますので、WordPressの管理画面にログインできることを確認してからやってくださいね。