Ebarbeito

Vía minid me entero de que uno de los scripts CGI que Movable Type incorpora por defecto permite transmitir SPAM a través de nuestros weblogs. Se trata del fichero mt-send-entry.cgi inicialmente ideado para permitir a cualquier usuario el envío de anotaciones de tu weblog por email.

Esta funcionalidad no la he visto nunca implementada en ninguna bitácora mantenida con MT, así que se recomienda (y más en estos últimos días donde el blogSpamming parece estar de moda) a todos aquellos webloggers que no hagan uso de este script que le quiten los permisos de ejecución o que lo borren directamente (yo he preferido quitarle los permisos y cambiarle el nombre). Por el contrario, si utilizas este script para ofrecer a tus lectores la posibilidad de enviar tus anotaciones por email, Benjamin Trott (junto con Mena G. Trott. creador de MT) ha sugerido en los foros un parche que, supuestamente, evita que se utilice este script para hacer ataques de SPAM. Aunque esto no parece ser del todo así ya que, si no lo he entendido mal (que me corrija alguien en caso contrario :)), el comportamiento de este script permite de varias maneras el envío de SPAM y este arreglo solo tapa una de ellas.

En la página principal de MT no se ha publicado nada al respecto.

Para más información: [1] , [2] , [3] , [4]

[ actualización, 27.11.2003 @ 19:20h. ] Ben Trott ha publicado una noticia en la página principal de Movable Type explicando la situación. De recomendable lectura para aquellos que todavía no estén enterados de este problema. Se ha publicado un paquete que contiene el fichero mt-send-entry.cgi con los pertinentes cambios que eliminan la vulnerabilidad. Para aquellos que utilicen este script, no tienen más que sustituir su antiguo mt-send-entry.cgi por el nuevo que contiene este paquete.

Trackback URI |