futuremix

MovzbleType に迷惑メールの創始の踏み台にされてしまう欠陥が見つかったそうです。脆弱性と対策についてによると、過去のすべてのバージョンに存在する欠陥で、パッチを当てれば解決するとのこと。パッチはプラグインになっているので、ファイルを解凍してプラグインディレクトリに
抛り込めば OK です。

で、実際にパッチを見たところ、改行コードを仕込むことにより任意のヘッダを偽装してメールを送信する手口ということらしい。これは MovableType 特有のバグではないですね。多くのウェブ・アプリケーションで同様の問題がありそうで、かなり不安。

最近、似たようなものに、IE が FTP の改行コード・インジェクションにより、悪意のあるサイトにアクセスするだけでメールを送ってしまう問題などが報告されていましたね。改行コード・インジェクションはしばらく話題になりそうです。