パスワードを忘れた? アカウント作成
9562 story

Movable Typeにスパム送信幇助の脆弱性 15

ストーリー by GetSet
早めに穴埋めを 部門より

cidy曰く、"Movable Typeにスパムメール送信を幇助してしまう現象が発生することを、Movable Type 日本語版サイトが伝えています。(お知らせ / ITMediaの記事)。
出荷済みの全ての日本語版と2.661以前の英語版にこの脆弱性が存在している、とのことです。内容は、対象のバージョンでメール通知を使用しており、MailTransferの値がsendmailの場合に、コメントや題名に特定の文字列を入力することで任意のアドレスにメールが送られてしまう、というものです。
対策としては、日本語版サイトにおいて配布されている英語版2.6x、日本語版3.01D,3.121向けのプラグインを導入するか、最新の3.122にアップグレードすることとされています。
Movable Typeを利用してblogを書いている方はぜひともチェックして欲しいところです。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by caddis (13231) on 2005年01月26日 17時50分 (#684740)
    ロリポップ [lolipop.jp]ユーザですが、この脆弱性のお知らせメールが届きました。
    "【ロリポップ!】Movable Type の脆弱性と対策について"
    というタイトルで。

    本文にはパッチ(plugin)への直リンクと適用方法が記載されています。
    単に安いから選んだサービスだけど、こういうメールを送ってもらえると、うれしいですね。

    /* 宣伝みたいだけど感心したのでID */
    • なまえの前半が挑発的なので、避けてました。
    • そういうのがまかり通ると phishing を助長するのでは。
      *****
      ここにパッチがあります。
      http://evil.com/ウイルス/キーロガー/或いはどこそこのログイン画面などなど

      導入方法は以下です。
      以下やさし~く説明
      • そのネタをやるなら、IEのバグ対策パッチって
        表題のほうが説得力あるし、ウイルス、キーロガーの
        侵入を簡単に許す環境だったら、フィッシングされるまでもなく、
        接続して20分で侵食されるOSならとっくに…

        ソースを確認せずに、親切な手段に応じるならば
        MSを騙ればすぐ信じるでしょうからねw
        • MS貶したいだけなら他でやってくれ。
          #684923が、どうしてフィッシングを助長すると言っているのか理解できているか?
          • すいませんね、貶すも何も事実なんですから。

            「Windows SP2にバグがある」と“警告”するウイルス「Ahker.B」
            http://internet.watch.impress.co.jp/cda/news/2005/01/27/6232.html

            結局は、メールで飛んできたものをすぐに実行に移さない事につきる。

            #684923は、情報を引き抜く罠を仕掛けるフィッシングと、
        • 心外だ。
          ウイルス、キーロガー・・・じゃ、rootkitって何さ。
          あと、Linuxerは全員root以外でデスクトップ環境を使ってると思ってる?
          最低限の知識の無いユーザーが繋ぐから20分で侵食されるのだ。

          # で、Webのソース書き換えに準ずるWebアプリへのプラグイン導入案内が
          # どうしてローカルのアプリに関係するか理解しかねるのでAC
          • ># で、Webのソース書き換えに準ずるWebアプリへのプラグイン導入案内が
            ># どうしてローカルのアプリに関係するか理解しかねるのでAC
            #684923が言い出したことだからね、それが置いてあるサイトに
            誘導するって事を言いたいんだと思うけど。
            普通は「理解しかねる」し、他を語る脅威にも備えているだろ?
            備えていなければ、ロリポップなど騙るまでも無く騙される。
            ついでに、MS
            • #684923 なんだけど、書き捨ててた…。
              問題は、他者ドメイン上のソフトウェアへの直リンをメールで送りつけ、導入方法がメール本文に書かれていて、それが正当と認識されてしまう状況にあるわけなんだけどね。
  • by Anonymous Coward on 2005年01月26日 15時27分 (#684658)
    メールコマンド?

    昔、CGI のメール送信インターフェースから
    .
    #command
    のように不正利用するって手口がありましたが、今更って気もするし。。

    # セキュリティに今更なんて無いんだけど
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...