Re: security/2006/dsa-1204.wml

[KISE Hiroshi <kise@xxxxxxxxxxx>]

From: SUGIYAMA Tomoaki <tomos@xxxxxxxxxxxxxxxx>
Subject: security/2006/dsa-1204.wml
Date: Sun, 3 Dec 2006 02:12:25 +0900
> <p>Ingo 電子メールフィルタルールマネージャが、作成された procmail
> ルールファイル中のユーザから提供されたデータの退避を十分に行っていないことが発見されました
> この問題により、任意のシェルコマンドを実行することが可能です。</p>

>> It was discovered that the Ingo email filter rules manager performs
>> insufficient escaping of user-provided data in created procmail rules
>> files, which allows the execution of arbitrary shell commands.

ここでの“escaping”はそのまま「エスケープ(処理)」でよいかと。


余談ですが、「サニタイズ」という言葉みるとこれを思い出します。
http://takagi-hiromitsu.jp/diary/20051227.html#p02
http://takagi-hiromitsu.jp/diary/20060115.html
関連して、これ。
http://kmaebashi.com/zakki/zakki0042.html

-- 
喜瀬“冬猫”浩