はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ PHPMailer

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 9 / 9件)
 

PHPMailerの脆弱性CVE-2016-10033はExim4やWordPress4.6でも影響があった | 徳丸浩の日記

2017/05/08 このエントリーをはてなブックマークに追加 72 users Instapaper Pocket Tweet Facebook Share Evernote Clip Sendmail MTA 徳丸浩 WordPress バンド

エグゼクティブサマリ PHPMailerのリモートコード実行脆弱性CVE-2016-10033は、従来MTAとしてsendmailを用いる場合のみ影響があるとされていた。また、WordPressはPHPMailerをバンドルしているが、CVE-2016-10033によるWordPressに対するリモートコード実行攻撃はできないとされていた。しかし、MTAとしてExim4を用いる場合には、PHPMa... 続きを読む

PHPのescapeshellcmdを巡る冒険はmail関数を経てCVE-2016-10033に至った | 徳丸浩の日記

2016/12/30 このエントリーをはてなブックマークに追加 57 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 エグゼクティブサマリ PHP mail関数 徳丸

エグゼクティブサマリ 2011年始めに徳丸がescapeshellcmdの危険性を指摘したが、この問題はmail関数のadditional_parameters経由で攻撃可能であることが2013年末に指摘された。その後2016年末に、PHPMailerの脆弱性CVE-2016-10033として現実のものとなった 経緯 2011/1/1 徳丸が「 PHPのescapeshellcmdの危険性 」を書... 続きを読む

PHPのmail関数、mb_send_mail関数のマニュアルに警告が追記されていた | 徳丸浩の日記

2016/12/29 このエントリーをはてなブックマークに追加 37 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 PHP mail関数 警告 マニュアル

昨日の記事「  PHPMailerの脆弱性CVE-2016-10033について解析した   にて、PHPMailerの脆弱性CVE-2016-10033の原因はmail関数が内部で呼んでいるescapeshellcmd関数の仕様が原因であると指摘しました。そして、mail関数の危険性については、小邨孝明さんが2013年12月23日の記事にて指摘していました。 mb_send_mail関数(mail... 続きを読む

【セキュリティ ニュース】「PHPMailer」の脆弱性、「WordPress」などでは悪用できず(1ページ目 / 全1ページ):Security NEXT

2016/12/28 このエントリーをはてなブックマークに追加 28 users Instapaper Pocket Tweet Facebook Share Evernote Clip Drupal Joomla ウェブサーバ PHPライブラリ

PHPライブラリ「PHPMailer」に脆弱性が見つかった問題で、同ライブラリを利用する「WordPress」「Joomla!」「Drupal」いずれも、コア部分では脆弱性を悪用される懸念がないことがわかった。 問題の脆弱性は、ウェブサーバの権限で任意のコードを実行されるおそれがある「PHPMailer」の脆弱性「CVE-2016-10033」。修正版として「同5.2.18」が公開されたが、対策を... 続きを読む

徳丸浩の日記: PHPMailerの脆弱性CVE-2016-10033について解析した

2016/12/28 このエントリーをはてなブックマークに追加 154 users Instapaper Pocket Tweet Facebook Share Evernote Clip ウェブサーバー PoC 徳丸浩 リモートスクリプト実行 攻撃

エグゼクティブサマリ PHPMailerにリモートスクリプト実行の脆弱性CVE-2016-10033が公表された。攻撃が成功した場合、ウェブシェルが設置され、ウェブサーバーが乗っ取られる等非常に危険であるが、攻撃成功には下記の条件が必要であることがわかった PHPMailer 5.2.17以前を使っている Senderプロパティ(エンベロープFrom)を外部から設定できる 現在出回っているPoCは... 続きを読む

PHPMailerの脆弱性CVE-2016-10033について解析した | 徳丸浩の日記

2016/12/28 このエントリーをはてなブックマークに追加 154 users Instapaper Pocket Tweet Facebook Share Evernote Clip ウェブサーバー PoC 徳丸浩 リモートスクリプト実行 攻撃

エグゼクティブサマリ PHPMailerにリモートスクリプト実行の脆弱性CVE-2016-10033が公表された。攻撃が成功した場合、ウェブシェルが設置され、ウェブサーバーが乗っ取られる等非常に危険であるが、攻撃成功には下記の条件が必要であることがわかった PHPMailer 5.2.17以前を使っている Senderプロパティ(エンベロープFrom)を外部から設定できる 現在出回っているPoCは... 続きを読む

PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲 - Qiita

2016/12/27 このエントリーをはてなブックマークに追加 196 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita from CMS CVE-2016-10033

今回の脆弱性 CVE-2016-10033 PHPMailer5.2.18より下のバージョンで発生します。 フォームからメールアドレスを受け付けて自前バリデーションせずにPHPMailerのFromにセットしている場合に発生する可能性。 任意のPHPコードをサーバに設置できるため、外部からWebシェルなどが設置されるなど、影響は大きいです。 影響が大きいため、PHPMailerを使っているCMSな... 続きを読む

PHPからのメール送信ライブラリ「PHPMailer」に脆弱性、米SANS ISCが注意喚起 -INTERNET Watch

2016/12/27 このエントリーをはてなブックマークに追加 25 users Instapaper Pocket Tweet Facebook Share Evernote Clip ISC 米SANS ISC PHP リモート ライブラリ

PHPからのメール送信に利用されているライブラリ「PHPMailer」におけるリモートでコードが実行される可能性のある脆弱性について、米SANS Technology InstituteのInternet Storm Center(ISC)が注意を喚起し、更新プログラムの適用を推奨している。  脆弱性「CVE-2016-10033」は、PHPMailerのメール送信機能を利用するウェブサイトのコメ... 続きを読む

PHPMailer」に重大な脆弱性、直ちにパッチ適用を - ITmedia エンタープライズ

2016/12/27 このエントリーをはてなブックマークに追加 78 users Instapaper Pocket Tweet Facebook Share Evernote Clip ライブラリ PHP バッチ パッチ適用 脆弱性

PHPからのメール送信に使われている、「世界一人気の高いコード」に重大な脆弱性が見つかった。「パッチを適用しないまま放置すれば悪用される」と専門家は警告している。 PHPからのメール送信に広く使われているライブラリの「PHPMailer」に重大な脆弱性が報告され、修正のためのパッチが12月24日付で公開された。悪用されれば任意のコードを実行される恐れも指摘され、米セキュリティ機関のSANS Int... 続きを読む

 
(1 - 9 / 9件)