2005年01月26日
Movable Type 脆弱性対応 及びコメントスパム対応
MT vulnerability Fix: blog.bulknews.net
Movable Type の Comment Notification コードに validation が不十分な箇所があり、コメント通知を ON にしていて、sendmail を利用して(デフォルト)メール通知している場合に、SPAM メールの踏み台にされる脆弱性がありました。とりあえず対応。
ついでに、自前で改造してたASCIIコードのみのコメントスパム対策も、こちらのプラグインでの対応に変更しました。
さらについでに、ASCIIでのコメント対策したのでIPBANのリストをクリア。
自分の会社からのコメント投稿も、たまに弾かれたりしてたので(多分WAN側IPは動的なはずなので、うちのルータがクラックされてるわけではないと思うけど)。
ついでだらけに、パッチのコードを覗いてみたりもした。
use MT::Mail;
my $original_send = \&MT::Mail::send;
my $my_send = sub {
my $class = shift;
my($hdrs, $body) = @_;
foreach my $h (keys %$hdrs) {
$hdrs->{$h} =~ y/\n\r/ /;
}
$original_send->($class, $hdrs, $body);
};
*MT::Mail::send = $my_send if $original_send ne $my_send;<-ここ!
感動!
my $original_send = \&MT::Mail::send;とかの辺りでメソッドの参照を逃してやるあたりは私もよくやるトリックだけど、そうか、比較もできるのか!
考えたら当たり前だけど、なんかすごく感動したぞ。
[composed and posted with ecto]
Related query words in Google & Yahoo
Related Books from Amazon
Trackback to this entry
TrackBack URL :
Trackbacks
トラックバックはありません。
コメントはありません。
Post a comment
![[ここギコ!]](http://kokogiko.net/logo.png)



・3Dどきゅめんと…って何?点字文書?(Ufoceleb)
・コロカの詳細が判りました&店舗誘導における来店検知の方法について(kokogiko)
・コロカの詳細が判りました&店舗誘導における来店検知の方法について(通りすがり)
・可視光通信って自位置特定にも使えるんじゃないか(Light Wire)
・新型インフルエンザでマスクとか(和知父くま)
・気持ちのよいサービス2:タクシーに携帯電話忘れたら届けてくれた(あああ)
・「ちっ、早すぎたな」と捨て台詞が言えるだけの何をお前はやったのか(kokogiko)
・国連人権委、アイヌ・琉球文化の保護を日本に勧告(TeraC)
・街頭募金に意味がないとは思えない(mukke)