Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Subject field search bug when NULL character is contained



>> On Thu, 25 Dec 2003 04:18:29 +0900
>> yw3t-trns@xxxxxxxxxxxxxxx (Tadamasa Teranishi) said as follows:

>> ;; ふと気になったのですが,MIME 文字列を decode すると NULL 文字になっ
>> ;; てしまうような場合は大丈夫でしょうか?

>Subject: はテキストですから、decode して NULL 文字がでてくることは普
>通ありえません。

もちろん.

>意図的にそういうものを作ったとしても、メーラや SMTP サーバが正しい動
>作をするとは思えません。

少なくとも MTA は,subject の内容なんか気にしないので,配送は正常にさ
れると思います.

私が気にしたのは,『decode した結果が制御文字や NULL 文字になるような 
MIME 文字列を,subject や from に指定したメールを送信すれば,namazu の
インデックスを壊す(*)ことができてしまうのではないか.これは,広い意味
での DOS attack と言えるのではないか』ということです.

(*) 正確には,内容を直接破壊してしまうのではなく,そのインデックスを利
用した検索結果が信用できなくなる,ということですが.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )