MovableTypeに任意のメール送信に使われてしまう欠陥

2005-1-26 01:03
このエントリーをはてなブックマークに追加

MovzbleType に迷惑メールの創始の踏み台にされてしまう欠陥が見つかったそうです。脆弱性と対策についてによると、過去のすべてのバージョンに存在する欠陥で、パッチを当てれば解決するとのこと。パッチはプラグインになっているので、ファイルを解凍してプラグインディレクトリに
抛り込めば OK です。

で、実際にパッチを見たところ、改行コードを仕込むことにより任意のヘッダを偽装してメールを送信する手口ということらしい。これは MovableType 特有のバグではないですね。多くのウェブ・アプリケーションで同様の問題がありそうで、かなり不安。

最近、似たようなものに、IE が FTP の改行コード・インジェクションにより、悪意のあるサイトにアクセスするだけでメールを送ってしまう問題などが報告されていましたね。改行コード・インジェクションはしばらく話題になりそうです。

1件のコメント

  1. MovableType に「改行コードインジェクション」の脆弱性

    MovableType のほぼ全バージョンで、迷惑メールの踏み台として利用されかねない脆弱性が発見され、その対策用パッチ(プラグイン)が配布されています。

    トラックバック by 観測気球2005-01-26 11:49

Sorry, the comment form is closed at this time.

70 queries. HTML convert time: 0.870 sec. Powered by WordPress. Valid XHTML
Copyright © 2003-2017 @ futuremix.org ログイン