PHPMailerの脆弱性(CVE-2016-10033,CVE-2016-10045)について【注意喚起】

著名なCMSで多く採用されているライブラリのひとつである
PHPMailerの脆弱性(CVE-2016-10033,CVE-2016-10045)が発表されました。

攻撃を行うことにより、ウェブサーバの権限で任意のコードを
実行されるおそれがあるというものです。

◆PHPMailerについて

PHPMailerは、
 ・WordPress
 ・Drupal
 ・Joomla!
等のPHPアプリケーション、およびプラグインで利用される
ライブラリです。

個別にPHPMailerを導入して自作アプリケーションを
利用されている場合も、影響をうける恐れがあります。

◆脆弱性影響の有無について

PHPMailerのプログラムファイルがあったとしても、実際に
どのような使われ方かによって脆弱性の影響の有無が異なります。

WordPress開発者側は、「WordPress4.7、4.6、およびセキュアな
バージョンのWordPressを利用していて、WordPressの提供している
wp_mail()関数を正しい形で利用している限り、今回の影響を受けない」と
コメントしています。

さらに
「WordPress本体の利用方法とは異なる形で、プラグインや独自プログラムが
PHPMailerを利用していたり場合はその限りではない。
個別のプラグインに問題があれば、プラグインチームがプラグイン著作者に
連絡をとる」と続けています。

◆対策について

PHPMailerメールに関するアプリケーション、プラグインを
ご利用の方は各アプリケーション、プラグイン側の情報をそれぞれ
ご確認ください。

PHPMailerを利用した自作プログラムを作成されている方は、
プログラム配布元の情報を参照してください。

【WordPressについて】
WordPress 4.X をご利用の方について
2017年1月11日、4.7.1がリリースされていますので、アップデートを行ってください。
※WordPressに同梱されているライブラリについても
脆弱性のないものに更新されます。

旧サーバプラン(※)で、WordPress3.2未満をご利用の方は
サーバ環境の都合でWordPressのアップデートをすると
サイトが見えなくなるケースがございますので、アップデートは
お控えください。

(※)PHP5.1.6搭載の以下プラン
・START、FLEX、SECURE
・ADVANCE、EXPERT
・EX-SCALE、EX-DB(2012年9月以前出荷のもの)