![[ここギコ!]](http://kokogiko.net/logo.png){kind=logo}
2005年01月26日
Movable Type 脆弱性対応 及びコメントスパム対応
MT vulnerability Fix: blog.bulknews.net
Movable Type の Comment Notification コードに validation が不十分な箇所があり、コメント通知を ON にしていて、sendmail を利用して(デフォルト)メール通知している場合に、SPAM メールの踏み台にされる脆弱性がありました。とりあえず対応。
ついでに、自前で改造してたASCIIコードのみのコメントスパム対策も、こちらのプラグインでの対応に変更しました。
さらについでに、ASCIIでのコメント対策したのでIPBANのリストをクリア。
自分の会社からのコメント投稿も、たまに弾かれたりしてたので(多分WAN側IPは動的なはずなので、うちのルータがクラックされてるわけではないと思うけど)。
ついでだらけに、パッチのコードを覗いてみたりもした。
use MT::Mail;
my $original_send = \&MT::Mail::send;
my $my_send = sub {
my $class = shift;
my($hdrs, $body) = @_;
foreach my $h (keys %$hdrs) {
$hdrs->{$h} =~ y/\n\r/ /;
}
$original_send->($class, $hdrs, $body);
};
*MT::Mail::send = $my_send if $original_send ne $my_send;<-ここ!
感動!
my $original_send = \&MT::Mail::send;とかの辺りでメソッドの参照を逃してやるあたりは私もよくやるトリックだけど、そうか、比較もできるのか!
考えたら当たり前だけど、なんかすごく感動したぞ。
[composed and posted with ecto]
Related query words in Google & Yahoo
Related Books from Amazon
Trackback to this entry
TrackBack URL :
Trackbacks
トラックバックはありません。
コメントはありません。
Post a comment
・3Dどきゅめんと…って何?点字文書?(moscow_city4)
・MovableType 3.2、MT::App::Trackback.pmの修正(名無し)
・滝川クリステル?(Lymmerres)
・3Dどきゅめんと…って何?点字文書?(veles1234)
・PostGISとPostgreSQL幾何データ型の比較(Bad credit loan)
・滝川クリステル?(SweapeBar)
・3Dどきゅめんと…って何?点字文書?(veles1234)
・ケータイ国盗り合戦が地域振興策「国おこし」「国札」を投入(宋)
・mixiアプリモバイルプラットフォームはまだ位置ゲーには使えない(まさに)