François Nonnenmacher (FR) | EN

Un script de Movable Type est susceptible d'être utilisé par des spammeurs pour envoyer des courriels à travers un weblogue piloté par ce logiciel. Ce script est nommé mt-send-entry.cgi et sert à offrir la fonctionnalité "envoyer cette page par courriel" ("email this to a friend"). Dans sa version vulnérable (versions jusqu'à la 2.64 antérieure au 26 octobre), un spammeur peut l'utiliser pour envoyer un spam à un nombre illimité d'adresses, car les champs destinataires et corps de messages ne sont pas contrôlés.

Movable Type vient de publier une mise-à-jour destinée à régler ce problème. Pour l'appliquer, téléchargez la nouvelle version du script mt-send-entry.cgi et placez-la sur votre serveur à la place de l'ancienne. Le nouveau script limite l'envoi à un seul destinataire et le corps du message à 250 caractères, afin de diminuer l'intérêt pour un spammeur de l'utiliser.

Si vous n'utilisez pas cette fonctionnalité sur votre site, je vous recommande plutôt de renommer ou, mieux, de supprimer ce script purement et simplement. En effet, même si la fonctionnalité en question n'est pas présente par défaut dans les gabarits de Movable Type, le script peut tout de même être activé s'il est présent dans l'installation sous son nom par défaut (le mécanisme est similaire à celui utilisé par les spammeurs pour automatiser le placement de commentaires-spams sur les weblogues).