Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Subject field search bug when NULL character is contained
寺西です。
TSUCHIYA Masatoshi wrote:
>
> >意図的にそういうものを作ったとしても、メーラや SMTP サーバが正しい動
> >作をするとは思えません。
>
> 少なくとも MTA は,subject の内容なんか気にしないので,配送は正常にさ
> れると思います.
MTA はデコードしないから素通りするか。
> 私が気にしたのは,『decode した結果が制御文字や NULL 文字になるような
> MIME 文字列を,subject や from に指定したメールを送信すれば,namazu の
> インデックスを壊す(*)ことができてしまうのではないか.これは,広い意味
> での DOS attack と言えるのではないか』ということです.
多分デコードして途中に NULL 文字が入っていると、そこまでの文字列
とみなして subject に登録するので、登録された subject の途中に
NULL 文字が入っていることはないでしょう。
# あくまでも多分。
ただ、改行コードの場合はそうではないかもしれません。
なので何らかの対処はしておいた方が良いのかもしれません。
--
=====================================================================
寺西 忠勝(TADAMASA TERANISHI) yw3t-trns@xxxxxxxxxxxxxxx
http://www.asahi-net.or.jp/~yw3t-trns/index.htm
Key fingerprint = 474E 4D93 8E97 11F6 662D 8A42 17F5 52F4 10E7 D14E