Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Subject field search bug when NULL character is contained
>> On Thu, 25 Dec 2003 04:18:29 +0900
>> yw3t-trns@xxxxxxxxxxxxxxx (Tadamasa Teranishi) said as follows:
>> ;; ふと気になったのですが,MIME 文字列を decode すると NULL 文字になっ
>> ;; てしまうような場合は大丈夫でしょうか?
>Subject: はテキストですから、decode して NULL 文字がでてくることは普
>通ありえません。
もちろん.
>意図的にそういうものを作ったとしても、メーラや SMTP サーバが正しい動
>作をするとは思えません。
少なくとも MTA は,subject の内容なんか気にしないので,配送は正常にさ
れると思います.
私が気にしたのは,『decode した結果が制御文字や NULL 文字になるような
MIME 文字列を,subject や from に指定したメールを送信すれば,namazu の
インデックスを壊す(*)ことができてしまうのではないか.これは,広い意味
での DOS attack と言えるのではないか』ということです.
(*) 正確には,内容を直接破壊してしまうのではなく,そのインデックスを利
用した検索結果が信用できなくなる,ということですが.
--
土屋 雅稔 ( TSUCHIYA Masatoshi )