Movable Typeにスパム送信幇助の脆弱性 15
ストーリー by GetSet
早めに穴埋めを 部門より
早めに穴埋めを 部門より
cidy曰く、"Movable Typeにスパムメール送信を幇助してしまう現象が発生することを、Movable Type 日本語版サイトが伝えています。(お知らせ / ITMediaの記事)。
出荷済みの全ての日本語版と2.661以前の英語版にこの脆弱性が存在している、とのことです。内容は、対象のバージョンでメール通知を使用しており、MailTransferの値がsendmailの場合に、コメントや題名に特定の文字列を入力することで任意のアドレスにメールが送られてしまう、というものです。
対策としては、日本語版サイトにおいて配布されている英語版2.6x、日本語版3.01D,3.121向けのプラグインを導入するか、最新の3.122にアップグレードすることとされています。
Movable Typeを利用してblogを書いている方はぜひともチェックして欲しいところです。"
ホスティング会社の対応 (スコア:2, 参考になる)
"【ロリポップ!】Movable Type の脆弱性と対策について"
というタイトルで。
本文にはパッチ(plugin)への直リンクと適用方法が記載されています。
単に安いから選んだサービスだけど、こういうメールを送ってもらえると、うれしいですね。
/* 宣伝みたいだけど感心したのでID */
Re:ホスティング会社の対応 (スコア:0)
Re:ホスティング会社の対応 (スコア:0)
ロリポップはペロペロキャンディーだけど・・・
スペルはlollipopだよねぇ・・・
Re:ホスティング会社の対応 (スコア:0)
*****
ここにパッチがあります。
http://evil.com/ウイルス/キーロガー/或いはどこそこのログイン画面などなど
導入方法は以下です。
以下やさし~く説明
Re:ホスティング会社の対応 (スコア:0)
表題のほうが説得力あるし、ウイルス、キーロガーの
侵入を簡単に許す環境だったら、フィッシングされるまでもなく、
接続して20分で侵食されるOSならとっくに…
ソースを確認せずに、親切な手段に応じるならば
MSを騙ればすぐ信じるでしょうからねw
Re:ホスティング会社の対応 (スコア:0)
#684923が、どうしてフィッシングを助長すると言っているのか理解できているか?
Re:ホスティング会社の対応 (スコア:0)
「Windows SP2にバグがある」と“警告”するウイルス「Ahker.B」
http://internet.watch.impress.co.jp/cda/news/2005/01/27/6232.html
結局は、メールで飛んできたものをすぐに実行に移さない事につきる。
#684923は、情報を引き抜く罠を仕掛けるフィッシングと、
Re:ホスティング会社の対応 (スコア:0)
ウイルス、キーロガー・・・じゃ、rootkitって何さ。
あと、Linuxerは全員root以外でデスクトップ環境を使ってると思ってる?
最低限の知識の無いユーザーが繋ぐから20分で侵食されるのだ。
# で、Webのソース書き換えに準ずるWebアプリへのプラグイン導入案内が
# どうしてローカルのアプリに関係するか理解しかねるのでAC
Re:ホスティング会社の対応 (スコア:0)
># どうしてローカルのアプリに関係するか理解しかねるのでAC
#684923が言い出したことだからね、それが置いてあるサイトに
誘導するって事を言いたいんだと思うけど。
普通は「理解しかねる」し、他を語る脅威にも備えているだろ?
備えていなければ、ロリポップなど騙るまでも無く騙される。
ついでに、MS
Re:ホスティング会社の対応 (スコア:0)
問題は、他者ドメイン上のソフトウェアへの直リンをメールで送りつけ、導入方法がメール本文に書かれていて、それが正当と認識されてしまう状況にあるわけなんだけどね。
ある文字列って (スコア:0)
昔、CGI のメール送信インターフェースから
.
#command
のように不正利用するって手口がありましたが、今更って気もするし。。
# セキュリティに今更なんて無いんだけど
Re:ある文字列って (スコア:3, 参考になる)
Re:ある文字列って (スコア:2, 興味深い)
ネタニマジレス (スコア:0)