【セキュリティパッチ情報】PHPmailer 3rd party library -- DRUPAL-SA-PSA-2016-004

2016-12-28
Highly Critical
拡張ライブラリ

2016年12月26日(日本時間:GMT+9)、拡張ライブラリにおいて 脆弱性が発見されました。
インストールしているDrupalの導入ライブラリを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-PSA-2016-004
●プロジェクト : PHPMailer (拡張ライブラリ)
●バージョン : 7.x, 8.x
●投稿日 :2016/12/26
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
PHPMailer及びSMTPモジュールは (また恐らく他のモジュールも)、拡張PHPMailerライブラリを使ったメール送信をサポートします。

基本的にDrupalプロジェクトは、拡張ライブラリに関する助言はしません。Drupalサイトのメンテナンス担当者は、「PSA-2011-002 - External libraries and plugins」で説明しているように、これらの拡張ライブラリから提供される発表を確認してください。
ただし本件がその境界線ぎりぎりであり、我々がこれから出すリリースのタイミングを考えると、パブリックサービスアナウンスメントの発表がDrupalサイトのメンテナンス担当者に影響を及ぼしている可能性があります。

==影響を受けるバージョン==
バージョン5.2.18.以前の外部PHPMailerライブラリのすべてのバージョン。
Drupalコアには影響がありません。PHPMailer拡張ライブラリを使用していない場合は、何もする必要はありません。

==解決方法==
PHPMailerライブラリのバージョンを最新版にアップグレードしてください。
https://github.com/PHPMailer/PHPMailer

SMTPを使用している場合
SMTPモジュールのコードベースには修正版拡張PHPMailerライブラリが含まれています。
この修正版ライブラリに影響はありません。

==元記事==
https://www.drupal.org/psa-2016-004