PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲

84
いいね
2
コメント

2016年12月28日に更新

今回の脆弱性

CVE-2016-10033

追記

2016/12/28 14:15
Postfixを使っていて、sendmailコマンドの代わりにPostfixのsendmailコマンドを使っている場合は、Postfixのsendmailコマンドが -X オプションを無視するようですので大きな影響を受けないと思います。ただ、別のオプションで違う脆弱性が発生する可能性もあるので、PHPMailerはアップデートしたほうが良いですね。

2016/12/28 15:35
PHPMailer5.2.18の修正を回避する新しい攻撃が見つかり、 CVE-2016-10045として登録されその攻撃方法も公開されてます。こちらの修正パッチはまだ存在しないみたいです。
この攻撃は、PHPMailer5.2.18で入った escapeshellarg()を回避するようになってます。こんな感じで。

暫定的にパッチ入れるなら、メールアドレスのバリデーションをPHP標準関数のfilter_varを使う方向にするのが手軽で良さそう。PHP5.2以上に限りますが。

//public static function validateAddress($address, $patternselect = null) この行を下記のように。

public static function validateAddress($address, $patternselect = 'php')

脆弱性の概要

PHPMailer5.2.18より下のバージョンで発生します。
フォームからメールアドレスを受け付けて自前バリデーションせずにPHPMailerのFromにセットしている場合に発生する可能性。
任意のPHPコードをサーバに設置できるため、外部からWebシェルなどが設置されるなど、影響は大きいです。

影響が大きいため、PHPMailerを使っているCMSなど(WordPress, Drupal, 1CRM, SugarCRM, Yii,Joomla!)も含めてバージョンアップが必要です。PHPMailerはメール送信ライブラリのため、知らない間にプラグインなどで利用されている可能性もあります。

WordPressの場合はwp-includes/class-phpmailer.phpですかね。
2016年12月28日の時点で、このチケットで議論されているようです。
すぐにアップデートできない人は、
$params = sprintf('-f%s', $this->Sender);となっている箇所を、
$params = sprintf('-f%s', escapeshellarg($this->Sender));にしておくと良いかも。（自己責任で）

影響範囲

PHPMailer5.2.18より下のバージョンで、メール送信にSendmailを使っている場合、下記の条件になります。

PCREが入っている場合
- すべてのPHPバージョンで影響
PCREが入っていない場合
- PHP5.2より下のバージョンで影響

PoCでは、以下のようにPCREが入ってないことが条件になってますが、それはこのPoCの条件であって他のパターンではPCREが入ってても抜けてしまいます。

PHPMailer < 5.2.18
Compile PHP without PCRE.
PHP version must be inferior to 5.2.0.

例えばこんなコードで検証すればPCREが入ったPHP5.2以上の環境でもメールアドレスのバリデーションは通ってしまいます。

<?php
require 'PHPMailerAutoload.php';
//$address = 'ichikaway@gmail.com';
$address = '"attacker\" -oQ/tmp/ -X/var/www/cache/phpcode.php  some"@email.com';
var_dump(PHPMailer::validateAddress($address)); // true

悲しいことに、PCREが入っているほうがPHPの対象範囲が広くなってしまいます・・・
PCREが入っておらず、PHP5.2以上の場合はPHPのfilter_var()でメールアドレスチェックが行われるため救われます。PCREの正規表現よりもfiter_var()を優先すれば良いのに・・・
コードはこのあたりをみればバリデーションの適用条件がわかると思います。
https://github.com/PHPMailer/PHPMailer/blob/master/class.phpmailer.php#L1068

その他の情報

## 今回の脆弱性

[CVE-2016-10033](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10033)

### 追記

2016/12/28 14:15
Postfixを使っていて、sendmailコマンドの代わりに[Postfixのsendmailコマンド](http://www.postfix-jp.info/trans-2.2/jhtml/mailq.1.html)を使っている場合は、Postfixのsendmailコマンドが -X オプションを無視するようですので大きな影響を受けないと思います。ただ、別のオプションで違う脆弱性が発生する可能性もあるので、PHPMailerはアップデートしたほうが良いですね。

2016/12/28 15:35
PHPMailer5.2.18の修正を回避する新しい攻撃が見つかり、 CVE-2016-10045として登録され[その攻撃方法も公開されてます。](https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html)こちらの修正パッチはまだ存在しないみたいです。
この攻撃は、PHPMailer5.2.18で入った `escapeshellarg()`を回避するようになってます。[こんな感じで。](https://gist.github.com/ichikaway/fc954cb73cad64b203aeaa853298ee41)

```php
//public static function validateAddress($address, $patternselect = null) この行を下記のように。

public static function validateAddress($address, $patternselect = 'php')
```

### 脆弱性の概要
PHPMailer5.2.18より下のバージョンで発生します。
フォームからメールアドレスを受け付けて自前バリデーションせずにPHPMailerのFromにセットしている場合に発生する可能性。
任意のPHPコードをサーバに設置できるため、外部からWebシェルなどが設置されるなど、影響は大きいです。

WordPressの場合は`wp-includes/class-phpmailer.php`ですかね。
2016年12月28日の時点で、[このチケット](https://core.trac.wordpress.org/ticket/37210)で議論されているようです。
すぐにアップデートできない人は、
`$params = sprintf('-f%s', $this->Sender);`となっている箇所を、
`$params = sprintf('-f%s', escapeshellarg($this->Sender));`にしておくと良いかも。（自己責任で）

## 影響範囲

PHPMailer5.2.18より下のバージョンで、メール送信にSendmailを使っている場合、下記の条件になります。

- PCREが入っている場合
    - すべてのPHPバージョンで影響
- PCREが入っていない場合
    - PHP5.2より下のバージョンで影響

[PoC](https://github.com/opsxcq/exploit-CVE-2016-10033)では、以下のようにPCREが入ってないことが条件になってますが、それはこのPoCの条件であって[他のパターン](https://legalhackers.com/exploits/CVE-2016-10033/PHPMailer-RCE-exploit-poc.txt)ではPCREが入ってても抜けてしまいます。

- PHPMailer < 5.2.18
- Compile PHP without PCRE.
- PHP version must be inferior to 5.2.0.

例えばこんなコードで検証すればPCREが入ったPHP5.2以上の環境でもメールアドレスのバリデーションは通ってしまいます。

```PHP
<?php
require 'PHPMailerAutoload.php';
//$address = 'ichikaway@gmail.com';
$address = '"attacker\" -oQ/tmp/ -X/var/www/cache/phpcode.php  some"@email.com';
var_dump(PHPMailer::validateAddress($address)); // true
```

## 最新版のパッチ
パッチは[これです](https://github.com/PHPMailer/PHPMailer/compare/c700f9868d37ea66b7f0f69b202baf6d56243850...master?diff=split&name=master)。
[この箇所](https://github.com/PHPMailer/PHPMailer/commit/4835657cd639fbd09afd33307cef164edf807cdc#diff-ace81e501931d8763b49f2410cf3094dR1449)で、[escapeshellarg()](http://php.net/manual/ja/function.escapeshellarg.php)を使って引数として利用される文字列をエスケープしています。

## その他の情報
- [Drupal Security advisories](https://www.drupal.org/psa-2016-004)
- [PHPMailerの脆弱性CVE-2016-10033はWordPressにどの程度影響するのだろうか](http://qiita.com/nishimura/items/869362ab33b5e82080b7)

ichikaway

173Contribution

PHPMailerのリモートコード実行脆弱性(CVE-2016-10033)の影響範囲

今回の脆弱性

追記

脆弱性の概要

影響範囲

最新版のパッチ

その他の情報

人気の投稿

問題がある投稿を報告する

ご意見