2005年01月26日

Movable Type 脆弱性対応及びコメントスパム対応

Posted by nene2001 at 11:02 / Tag(Edit): / 0 Comments: Post / View / 0 TrackBack

MT vulnerability Fix: blog.bulknews.net

Movable Type の Comment Notification コードに validation が不十分な箇所があり、コメント通知を ON にしていて、sendmail を利用して（デフォルト）メール通知している場合に、SPAM メールの踏み台にされる脆弱性がありました。

とりあえず対応。
ついでに、自前で改造してたASCIIコードのみのコメントスパム対策も、こちらのプラグインでの対応に変更しました。
さらについでに、ASCIIでのコメント対策したのでIPBANのリストをクリア。
自分の会社からのコメント投稿も、たまに弾かれたりしてたので(多分WAN側IPは動的なはずなので、うちのルータがクラックされてるわけではないと思うけど)。

ついでだらけに、パッチのコードを覗いてみたりもした。

use MT::Mail;
my $original_send = \&MT::Mail::send;

my $my_send = sub {
    my $class = shift;
    my($hdrs, $body) = @_;
    foreach my $h (keys %$hdrs) {
        $hdrs->{$h} =~ y/\n\r/  /;
    }
    $original_send->($class, $hdrs, $body);
};

*MT::Mail::send = $my_send  if $original_send ne $my_send;<-ここ!

感動!
my $original_send = \&MT::Mail::send;とかの辺りでメソッドの参照を逃してやるあたりは私もよくやるトリックだけど、そうか、比較もできるのか!
考えたら当たり前だけど、なんかすごく感動したぞ。

[composed and posted with ecto]

Related query words in Google & Yahoo

Related Books from Amazon

Trackback to this entry

TrackBack URL :

トラックバックはありません。

Comments

コメントはありません。

About Me

my namecard

Navigation

2009年07月 [1]
2009年06月 [4]
2009年05月 [1]
2009年04月 [1]
2009年03月 [4]
2009年01月 [7]
2008年12月 [13]
2008年11月 [17]
2008年10月 [16]
2008年09月 [21]
2008年08月 [6]
2008年03月 [3]
2008年02月 [10]
2008年01月 [23]
2007年12月 [23]
2007年11月 [9]
2007年10月 [10]
2007年09月 [9]
2007年08月 [11]
2007年07月 [5]
2007年06月 [17]
2007年05月 [36]
2007年04月 [41]
2007年03月 [27]
2007年02月 [29]
2007年01月 [35]
2006年12月 [35]
2006年11月 [26]
2006年10月 [25]
2006年09月 [36]
2006年08月 [26]
2006年07月 [51]
2006年06月 [41]
2006年05月 [30]
2006年04月 [41]
2006年03月 [36]
2006年02月 [37]
2006年01月 [17]
2005年12月 [38]
2005年11月 [22]
2005年10月 [34]
2005年09月 [18]
2005年08月 [53]
2005年07月 [54]
2005年06月 [61]
2005年05月 [69]
2005年04月 [64]
2005年03月 [66]
2005年02月 [63]
2005年01月 [83]
2004年12月 [58]
2004年11月 [15]
2004年10月 [20]
2004年09月 [19]
2004年08月 [35]
2004年07月 [30]
2004年06月 [41]
2004年05月 [52]
2004年04月 [21]
2004年03月 [10]
2004年02月 [43]
2004年01月 [1]

Recent Entries

・ゼンリンは地方地図も頑張ってくれ　少なくとも電子国土で提供されているレベルの情報は落とさないで欲しい
・コロカの詳細が判りました＆店舗誘導における来店検知の方法について
・ワンコリアフェスティバルDay2009行ってきました
・新型インフルエンザでマスクとか
・視覚障碍者GPS歩行支援システムセミナー参加してきました
・まず日本の外面(ヅラ)と内面が精神分裂してしまっている事態を第一の問題とすべき
・「ちっ、早すぎたな」と捨て台詞が言えるだけの何をお前はやったのか
・アイヌ語のカナ表記<->ローマ字表記の相互変換Perlモジュール作りました
・手の痺れ・ヘルニアに鍼灸治療がいい感じ
・目的と手段の取り違えが、お役所仕事/お役所体質を生む

Recent Comments

・3Dどきゅめんと…って何？点字文書？(MrSwant)
・3Dどきゅめんと…って何？点字文書？(Ufoceleb)
・コロカの詳細が判りました＆店舗誘導における来店検知の方法について(kokogiko)
・コロカの詳細が判りました＆店舗誘導における来店検知の方法について(通りすがり)
・可視光通信って自位置特定にも使えるんじゃないか(Light Wire)
・新型インフルエンザでマスクとか(和知父くま)
・気持ちのよいサービス２：タクシーに携帯電話忘れたら届けてくれた(あああ)
・「ちっ、早すぎたな」と捨て台詞が言えるだけの何をお前はやったのか(kokogiko)
・国連人権委、アイヌ・琉球文化の保護を日本に勧告(ＴｅｒａＣ)
・街頭募金に意味がないとは思えない(mukke)

Recent Trackbacks

・ワンコリアフェスティバルDay2009行ってきました(ここギコ！)
└トゥルソリ追加写真
・ワンコリアフェスティバルDay2009行ってきました(ここギコ！)
└入院しまつた
・目的と手段の取り違えが、お役所仕事/お役所体質を生む(ここギコ！)
└嫡出推定の意義は判ったがそれにより切り捨てられる部分を救うことにも意義を認めないとな
・39サーチ/掃除機/「掃除機」：最新情報(39サーチ)
└掃除機ホースに詰まったハンカチの取り出し方
・京都通り名ジオコーダー「ジオどす」(ぱらめでぃうす)
└京都の通り名に対応したジオコーディングサービス「ジオどす」
・アイヌ叙事詩(最新ブログニュース)
└Google未オルソ衛星画像にぶった切られた我が母校
・有象無象系ケータイ公式サイトの世界は、恐ろしい虚業の世界かもしれない(ここギコ！)
└思った以上にマスはでかい、だからマーケッターが強くなる
・有象無象系ケータイ公式サイトの世界は、恐ろしい虚業の世界かもしれない(ここギコ！)
└AMNブロガーミーティング「ユビークリンク/全力案内！」に行ってきました。
・有象無象系ケータイ公式サイトの世界は、恐ろしい虚業の世界かもしれない(ここギコ！)
└ケータイ位置情報ゲームにおいて、あるべき理想のマネタイズパターン
・はてサの皆様への質問に答えてみる(ここギコ！)
└在日参政権問題の根本解決はサンフランシスコ平和条約後の措置を白紙に戻すしかあり得ない

Hatena bookmarked

My Hatebu

Banners

Syndication

Powered by

Get it!!

Affiliate

GIS is Orkney!

Our book

入門Webマッピング―自分で作るオリジナルのデジタル地図

Accessories

blogranKing

feed meter

Hatena Bookmark

この日記のはてなブックマーク数