Wordpress

つい先日、社内で割りと話題になったPHPMailerの脆弱性。
一応ここでも共有しておこうかなと。


20170109追記

WordPressからの利用(wp_mailの使用)については、今回発覚した脆弱性を利用できず、早急なアップデートは必要ありません。
ただし、脆弱性が残ることにはなるので、できるだけアップデートはしましょう。


PHPMailerって?

端的に言うとWordpressやDrupalなどのCMSや
それ以外のオープンソースなソフトによく組み込まれていて、PHPを利用してメール送信を行うコードです。

これを使えば簡単にWordpressのお問い合わせページからメールを送信できたりします。
よく見るwp_mailとかで使っているコードというわけですね。

何が起きた?

先日、報告されていたPHPMailerの機能を利用してコードを送信し、リモート制御を行う手法についてです。
24日付でこの問題の緊急対応パッチがアップされ、米セキュリティ機関のSANS Internet Storm Centerより早くパッチ当てろと注意喚起されました。

まぁ、それを受けてCMSを運用している我が社はそれなりに蜂の巣をつついたように、上へ下への大騒ぎ。
先日12月のはじめにWordpressを4.7へアップデートしたんだから大丈夫だろうとしていたのが全然大丈夫じゃなかったと。

閑話休題。

とにかくそういった脆弱性が見つかっており、そのパッチを手動でダウンロードして当てろと言うことですね。

なんで手動なの?

WordPressしか知らないのですが、PHPMailerのように緊急パッチをすぐさま出す…ということができません。
なぜなら数回に分けて試行錯誤していき、まともな安定版を作成するからです。
このプロセスにはマイナーバージョンアップがあってから早くとも1ヶ月はかかります。
4.7になったのは12月の初めのことなので、どう考えても来月以降になるわけですね。年末年始ですが。

この場合、やはりWordpress自体をアップデート(しても何も起きない)ので
更新して本番に上げる前に検証くらいはしましょう。

アップデートするモジュールはどこに?

PHPMailerのコードはgithubで公開されています。ブックマーク推奨ですよ!
https://github.com/PHPMailer/PHPMailer/releases

なお、現在のバージョンは[5.2.21]となっており、
今アップデートするならば、最低でも[5.2.20]にはアップデートする必要があります。

ITメディアさんは27日に発表してくれていますが、更新してくれていません。
既に5.2.18は過去のバージョンになっています。
http://www.itmedia.co.jp/enterprise/articles/1612/27/news058.html

なお、SANS ISC InfoSec Forumsさまさまは[5.2.20]について説明してくれています。
最低でも[5.2.20]にはしろよと警告されていますね。
https://isc.sans.edu/forums/diary/Critical+security+update+PHPMailer+5220+CVE201610045/21855

注意です。
WordPress4.7ですが、PHPMailerのバージョンはかなり古いもので、昨年11月のソースが入っています。

以上!Wordpressに限った話ではないので気をつけて運用しましょう!