Ich finds immer wieder erschreckend wie dämlich Programmierer sind, die in angeblichen Sicherheitssystemen tätig sind. Sowas wie das hier ist doch ein absoluter Anfängerfehler! Und solche Software soll dann Benutzer vor Angriffen aus dem Internet schützen ...
Bei heise online news gibts den Originalartikel.
Autsch. Grosses Loch in Moveable Type: die eMail-Adressen die für die Versendung von Eintragsnachrichten eingegeben werden kann, wird nicht auf Validität geprüft. Damit haben Angreifer die Möglichkeit darüber Schindluder zu treiben - zum Beispiel haben Spammer laut diesem Beitrag das Loch benutzt um Spam abzusetzen. Es ist dort auch ein Patch angegeben, mit dem man die Validierung einbauen kann, so das Spammer nicht mehr so leicht MT missbrauchen können.
Also, Leute, patcht euer Moveable Type! Oder noch besser: raus mit dem Script!
Nicht mehr ganz neu, aber vielleicht bedenkenswert für einige der aktuellen Weblogspam-Bekämpfer. In vielen Punkten gebe ich Mark Recht: gerade einfache Filterlisten sind die dümmste Idee die man bei Spam-Bekämpfung haben kann, egal in welchem Medium. Das diese Filterlisten gerade im Weblogbereich mal wieder als tolle neue Idee positioniert werden, ist wirklich putzig.
Scheinbar ist es uns Menschen einprogrammiert nicht zu glauben das auch die hundertste Neuerfindung des dreieckigen Rades immer noch eine dumme Idee ist ...