_ えーと、うちのサーバ、しばらく落ちてました。
_ クリスマスに抗議の意を示したのか、イブの日の午前中に自宅フレッツ回線が死亡。今どき自宅サーバを外に公開してる人なんてめったにいないと思うんだけど、うちはそのめったにいない人でして、インターネットから消えました。
_ つながらないのがわかってても対応できない日が続いて、やっと今朝、NTT の人に来てもらって復旧。原因は ONU の故障。10年以上使ってたからねぇ、経年劣化で壊れるのもしかたない。ちなみに交換された ONU もけっこう年季の入った中古品。同型品と交換なのね。新品なんかないだろうなぁやっぱり。作業に来た人も、このタイプもう少ないんだよねー、とのこと。
_ ヘタすると復旧が年を越すかもしれん、ということでホスティング屋さんにサーバ借りたんだけど、そっちの準備ができる前に自宅回線の方が先に復活してしまった。まあせっかくの機会なんで、外部公開しているものはそっちの方に移す予定。明日から正月休みで例年どおりまた遠出するつもりだったんだけど、中途半端なままで放置するのはいろいろよくないので、ある程度の作りこみが完了するまで外出は延期の予定。
_ なお、不通だった4日間にこちらに送られたメールは、ほとんど再送されてうちに届いてるはず。たいていの MTA はデフォルトではキューの保持期間が5日〜7日なので(身近に1日に設定してる ISP があるけど)。
_ 騒ぎになってますね。年末なのにみなさんたいへんですね。仕事納めできなくなっちゃった人もいるんじゃないかなぁ。わしゃまったく無関係なので他人事だけど。
_ この穴、PHPMailer というよりも PHP 本体の mail() 関数の仕様がクソというのが問題の本質のようで、 実は2年も前に mail() を使った攻撃手法が公開されてる。そして先月になって実際にこの攻撃手法が RoundCube で有効だったと判明し、1ヶ月後に PHPMailer でも可能だったよと発表されるという流れ。
_ PHPMailer の脆弱性公表はいちおうクリスマス休暇明けではあるけど、あんまりマジメに人は働いてない時期で、ヤバい脆弱性を公開するのに適したタイミングとは言えない。にもかかわらず公開したのは、RoundCube の前例を知っていれば PHPMailer でも同様の攻撃が通用することを発見するのは容易で、実質的にすでに公開されてるも同然の状態だったからなんじゃないかな。実際、今回の発見者が PoC を公開するより先に 別の人が PoC を出してるのは、察しのいい人ならすぐ作れるレベルのものだったからと思われる。
_ そういうわけで、PHPMailer だけでなく、RoundCube もアップデートしてください、それ以外でも PHP でメールを送信してるものがあれば各自チェックしておく必要あり。PHPMailer に関して言えば、sendmail コマンドではなく SMTP を使った送信もできるはずなんで、そっちを使うように設定を変更しておいてもよいかと。
_ 公開されてる PoC は sendmail の -X というオプションがキモで、これは postfix、qmail、exim その他の MTA についてくる sendmail wrapper では機能しない。が、発見者は
Note that exploitation is not limited to systems with Sendmail MTA.とも 言ってる。いろいろ考えてみたけどどうやれば sendmail 以外の MTA で発動できるのかまったく思いつかなかったけど、とりあえず注意はしておいた方がいいかも。少なくとも -X が使えないのは確実なので、他の MTA も攻撃可能だったとしても、実際の攻撃コードは大きく異なるはず。