PHPMailer 安全性問題對 CMS 的影響[轉載自iThome]

在 Drupal.org 官方公告說明裡，明確表示 Drupal 本身並未受到此弱點影響，除非使用者在系統中直接使用 PHPMailer 函式庫，這是由於 Drupal 並未內建 PHPMailer ，通常使用預設的 PHP mail() 指令。那究竟什麼情況會導致使用 PHPMailer 呢？常見的狀況有二：

1. 使用 PHPMailer 模組[6]，這是 Drupal 第三方模組，用來介接 Drupal 與 PHPMailer，讓 Drupal 改用 PHPMailer 函式庫寄送信件。(為了區別 PHPMailer 函式庫，以下統一用 PHPMailer 模組以便跟 PHPMailer 函式庫做區隔。)

2. 使用 SMTP Authentication Support[7] 模組，另一個常用的 SMTP 寄信模組，這個模組本身夾帶了源自 PHPMailer 並經過改寫的函式庫。

SMTP 模組使用修改過的 PHPMailer 函式庫中不存在此次 PHPMailer 所帶來的弱點問題。在 Drupal.org 官方的公告特別解釋 SMTP 模組近期所公告的安全性修正，與 PHPMailer 錯誤是不相關的。

而 PHPMailer 模組在程式碼當中遵循 RFC 5322 的網址與 Email 格式規範[8]，在寄送信件之前，會使用 regex 做信件地址格式檢查[9]，以確保送出的地址格式正確，避免了遠端執行程式攻擊的問題。

如果您仍然是 Drupal 6 的使用者或維護人員，並且僅使用 PHPMailer 函式庫的 SMTP 寄件功能，由於 Drupal 6 所使用的 PHPMailer 模組所使用的第三方 PHPMailer 函式庫為 5.1 或更久之前的版本，因此可參考 David Snopek 撰文[10]所建議的做法，將有問題的 Sendmail() 、 MailSend() 等程式碼禁用或刪除。

詳細內容請參考http://www.ithome.com.tw/guest-post/110934