お客様各位
さくらインターネット株式会社
平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
2016年12月25日に、PHPMailerにおけるリモートコード実行の脆弱性
(CVE識別番号:CVE-2016-10033)が報告されました。
PHPMailerはPHPのライブラリで、WordPressやDrupalなどのCMS、各種プラグインで利用
されています。対策方法等、詳細は以下をご覧ください。
<記>
■PHPMailerにおける脆弱性について
▼対象アプリケーション
WordPress、DrupalなどのPHPアプリケーションや各種プラグイン
▼想定される影響
PHPアプリケーション上で任意のコードが実行され、サイトの乗っ取りや悪意のある
プログラムを設置される可能性があります。
▼対策方法
【WordPress】
2016年12月28日14時現在、脆弱性対応済みのバージョンは公開されておりません。
最新の4.7にアップデートすると今回の脆弱性対応版がリリースされ次第、自動
アップデートされますので、WordPressをご利用のお客様は4.7へアップデートして
お待ち下さい。
さくらのレンタルサーバをご利用中で、クイックインストール機能を使いインスト
ールされている場合は、下記サポートサイトをご参考の上、アップデートの実施を
お願いいたします。
・サポートサイト>アップデート
https://help.sakura.ad.jp/hc/ja/articles/206054762
なお、言語に関する仕組みをご理解いただいている場合は、ソースコード編集など
による対策も可能です。
その他のPHPアプリケーションをご利用のお客様におかれましては、ご利用のプロ
グラムが脆弱性の対象となっていないか、提供元にてご確認ください。
▼詳細
本脆弱性についての影響範囲、対応方法などの詳細は、以下の開発元、セキュリ
ティ関連団体のWebサイト(英語)をご参照ください。
・CVE-2016-10033 – SANS ISC InfoSec Forums
https://isc.sans.edu/forums/diary/Critical+security+update+PHPMailer+5218+CVE201610033/21855/
・PHPmailer 3rd party library — DRUPAL-SA-PSA-2016-004
https://www.drupal.org/psa-2016-004
——————————————————————————–
(2016年12月28日17:00追記)
日本語版の詳細ページが公開されました。こちらをご参照ください。
・JVNVU#99931177: PHPMailer に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU99931177/
——————————————————————————–
■本件に関するお問い合わせ
メールアドレス:support@sakura.ad.jp
News