« MobG ver1.0-beta2 (WP2.5以上専用) | トップページ | MobG ver 0.6 »

2008-04-25

wp-mail 問題

●お知らせ

下記のバージョンに該当する MobG を利用されている方は、Wordpress インストールディレクトリ内にある、wp-mail.php を削除することを強くお薦めします。

MobG ver0.1~ver1.0-beta1
MobG ver1.0-beta2 をバージョンアップで使用している場合

■なぜ削除が必要か?

MobGでは SOMY氏作 Mobile Gate 以来、伝統的に Wordpress標準で付属している wp-mail.php の設定項目を流用する形で使用してきました。
これは、Wordpress adminツール内の投稿設定にある wp-mail 関連の設定項目(メールでの投稿)が該当します。
これらの設定項目は MobG で利用されると共に、wp-mail でも利用されます。

問題の wp-mail.php ですが、デフォルトではこのスクリプトへのアクセスは全く制限がありません。誰でも、アドレスさえ知っていればアクセスし、処理を実行する事ができます。
これはすなわち、誰でも(管理者以外の権限を持たない第三者でも)メール投稿のための処理スクリプトを実行できることに他なりません。
問題は、このスクリプトを使って設定されたメールサーバーに対し過負荷を与えることができる点です。
悪意ある者が、このスクリプトへ多数のアクセスを行えば、メールサーバーへの問い合わせを瞬時に多数発生させる事が可能です。
また、メールサーバーから見た場合を考えると、あくまでも攻撃(とみなされる過アクセス)を行っているのはスクリプトが実行されているホストであり、スクリプトを踏み台にしている本当の攻撃者は分かりません。

このような不特定かつ無差別な過負荷を発生させる可能性を排除するために、当該バージョンの MobG をご利用になる場合は、 wp-mail.php の削除を強く薦めます。

■補足

この事象は、MobGに限ったことではなく、wp-mail 関連の設定を流用しているスクリプト全てに関係します。
特に、メール投稿系のスクリプトをご使用の場合は、この点に注意するべきと考えます。
また、どのバージョンの Wordpress においても wp-mail.php を利用しないのであれば、サーバー上から削除することをお薦めします。

なお、MobG ver1.0-beta2 ではメール設定を独自に持っていますので、この問題に該当しませんが、バージョンアップされた方など、念のため wp-mail.php を削除するか、wp-mail 関連の設定項目をデフォルトに戻してお使いください。

■2008/04/26 追記

今後のバージョンでは、wp-mail 関連の設定を一切使用せず、独自で設定項目をもつこととします。
早いうちに、現行バージョンの修正版を出す予定です。
なお、wp-mail に関する設定項目はデフォルトのまま使用するようにしてください。

|

« MobG ver1.0-beta2 (WP2.5以上専用) | トップページ | MobG ver 0.6 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/192795/20561080

この記事へのトラックバック一覧です: wp-mail 問題:

» Ktai Entry は wp-mail.php 起動を対策ずみ [Yuriko.Net]
MobG 作者の norida さんが「wp-mail 問題」を提起されています。wp-mail.php は悪意ある他人にとって絶好の攻撃対象であるという内容です。しかし、拙作のメール投稿プラグイン Ktai Entry はすで... [続きを読む]

受信: 2008-04-25 19:35

« MobG ver1.0-beta2 (WP2.5以上専用) | トップページ | MobG ver 0.6 »