【重要】PHPMailerにおける脆弱性についての注意喚起(2016年12月28日17:00追記)

                                 2016年12月28日
お客様各位
                           さくらインターネット株式会社

 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。

 2016年12月25日に、PHPMailerにおけるリモートコード実行の脆弱性
(CVE識別番号:CVE-2016-10033)が報告されました。
 PHPMailerはPHPのライブラリで、WordPressやDrupalなどのCMS、各種プラグインで利用
されています。対策方法等、詳細は以下をご覧ください。


                   <記>


■PHPMailerにおける脆弱性について

 ▼対象アプリケーション
  WordPress、DrupalなどのPHPアプリケーションや各種プラグイン

 ▼想定される影響
  PHPアプリケーション上で任意のコードが実行され、サイトの乗っ取りや悪意のある
  プログラムを設置される可能性があります。

 ▼対策方法
  【WordPress】
   2016年12月28日14時現在、脆弱性対応済みのバージョンは公開されておりません。
   最新の4.7にアップデートすると今回の脆弱性対応版がリリースされ次第、自動
   アップデートされますので、WordPressをご利用のお客様は4.7へアップデートして
   お待ち下さい。
   さくらのレンタルサーバをご利用中で、クイックインストール機能を使いインスト
   ールされている場合は、下記サポートサイトをご参考の上、アップデートの実施を
   お願いいたします。

   ・サポートサイト>アップデート
    https://help.sakura.ad.jp/hc/ja/articles/206054762

   なお、言語に関する仕組みをご理解いただいている場合は、ソースコード編集など
   による対策も可能です。
   その他のPHPアプリケーションをご利用のお客様におかれましては、ご利用のプロ
   グラムが脆弱性の対象となっていないか、提供元にてご確認ください。

  ▼詳細
   本脆弱性についての影響範囲、対応方法などの詳細は、以下の開発元、セキュリ
   ティ関連団体のWebサイト(英語)をご参照ください。

    ・CVE-2016-10033 - SANS ISC InfoSec Forums
     https://isc.sans.edu/forums/diary/Critical+security+update+PHPMailer+5218+CVE201610033/21855/
 
    ・PHPmailer 3rd party library -- DRUPAL-SA-PSA-2016-004
     https://www.drupal.org/psa-2016-004

--------------------------------------------------------------------------------
 (2016年12月28日17:00追記)
  日本語版の詳細ページが公開されました。こちらをご参照ください。
  ・JVNVU#99931177: PHPMailer に OS コマンドインジェクションの脆弱性
   http://jvn.jp/vu/JVNVU99931177/
--------------------------------------------------------------------------------

■本件に関するお問い合わせ
 メールアドレス:support@sakura.ad.jp