2006年4月28日

[SpamAssassin-JP 227] Re:ルールファイルのセキュリティについて

** SpamAssassin メーリングリスト **
** 注意:このメールへの返信は SpamAssassin-jp へ行きます **
さとうです。

On Thu, 27 Apr 2006 13:31:34 +0900
OKI Miyuki wrote:
Subject: [SpamAssassin-JP 224] Re: ルールファイルのセキュリティについて

> 例えば、ルールの交換っていうのは、今後の課題になってくると思われますし、
> 言ってみれば、スパムアサシン・ルール・(クロスサイト・)スクリプト脆弱
> って感じになるのではないでしょうか?と、私は思います。


On Thu, 27 Apr 2006 14:10:58 +0900 (JST)
MATSUDA Yoh-ichi / 松田陽一 wrote:
Subject: [SpamAssassin-JP 225] Re: ルールファイルのセキュリティについて

> > #TLECルールの中に、こんな感じでこっそりopen(TMP,'>/etc/passwd')とか入れ
> > #といたらものすごい影響が出そうですが :)
> こっ、怖いこと云わんといて〜^^;
> # でも、真面目な話、 BTS した方が良いかもしれませんね。


 SpamAssassinは、ルールをどう設定するかがすごく重要なので、最初はどこか
から実績あるルールを落としてくるということ、あとルール自体、すごく長くな
るので、導入するときに全部チェックしてらんない、ということがあると思うの
ですよね。
 ルールファイルをどこかから落としてチェックせずに使うのと、実行ファイル
やパッチとを比べたら、危険度が低く感じると思います。

 例えばWikiで、誰でも添付や変更出来る形で、実行ファイルやパッチを提供す
るのはヤバイと感じると思うのですが、ルールについてはあまり危険性を感じな
いのでは?
 今回の件で、ルールの場合でも危険なんだな、と思いました。


--
佐藤 潔 (SATOH Kiyoshi) http://d.hatena.ne.jp/stealthinu/

--
SpamAssassin メーリングリスト
http://mm.apache.jp/mailman/listinfo/spamassassin-jp

投稿者 xml-rpc : 2006年4月28日 17:24
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/39866
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。