2005年01月26日
Movable Type 脆弱性対応 及びコメントスパム対応
MT vulnerability Fix: blog.bulknews.net
Movable Type の Comment Notification コードに validation が不十分な箇所があり、コメント通知を ON にしていて、sendmail を利用して(デフォルト)メール通知している場合に、SPAM メールの踏み台にされる脆弱性がありました。とりあえず対応。
ついでに、自前で改造してたASCIIコードのみのコメントスパム対策も、こちらのプラグインでの対応に変更しました。
さらについでに、ASCIIでのコメント対策したのでIPBANのリストをクリア。
自分の会社からのコメント投稿も、たまに弾かれたりしてたので(多分WAN側IPは動的なはずなので、うちのルータがクラックされてるわけではないと思うけど)。
ついでだらけに、パッチのコードを覗いてみたりもした。
use MT::Mail;
my $original_send = \&MT::Mail::send;
my $my_send = sub {
my $class = shift;
my($hdrs, $body) = @_;
foreach my $h (keys %$hdrs) {
$hdrs->{$h} =~ y/\n\r/ /;
}
$original_send->($class, $hdrs, $body);
};
*MT::Mail::send = $my_send if $original_send ne $my_send;<-ここ!
感動!
my $original_send = \&MT::Mail::send;とかの辺りでメソッドの参照を逃してやるあたりは私もよくやるトリックだけど、そうか、比較もできるのか!
考えたら当たり前だけど、なんかすごく感動したぞ。
[composed and posted with ecto]
Related query words in Google & Yahoo
Related Books from Amazon
Trackback to this entry
TrackBack URL :
Trackbacks
トラックバックはありません。
コメントはありません。
Post a comment
![[ここギコ!]](http://kokogiko.net/logo.png)



・SpaceTagがBlogホスティングセットの販売を始めた(shrine dbz hentai)
・昔のケータイ版ここギコの画像が出てきた(Anutkais)
・3D PaPaGO! 登場(Trimenfx)
・JR東日本ポケモンスタンプラリー2008コンプリート(見物人)
・フリーチベットデモ参加してきました(mityosi)
・もうAmazonクレジットカードは使いません...楽天カード一本で。(dk)
・KDDIのせいでWiki=Wikipediaが定着の恐れ(名無し)
・KDDIのせいでWiki=Wikipediaが定着の恐れ(tosiaki)
・2人の同僚が去っていった(宋)