[mew-dist 27640] Re: APOP vulnerability

[Tatsuya Kinoshita]

On April 21, 2007, [mew-dist 27638],
tats (at vega.ocn.ne.jp) wrote:

> APOP vulnerability (CVE-2007-1558)対策として、timestampにnon-ASCII
> 文字を許さないようにしてみました。いかがでしょうか。
> (厳密な処理はしておらず、従来どおり"<"と">"で判定しています)
[...]
> -  (if (re-search-forward "<[^<>]+@[^<>]+>" nil t)
> +  (if (re-search-forward
> +       "<[\000-\073\075\077-\177]+@[\000-\073\075\077-\177]+>" nil t)

どうせ規格に厳密でないなら、おかしな文字を弾くためには、もっと条件を
厳しくした方がいいのかもしれません。たとえば下記のようにASCIIでも制御
文字は除外してはどうでしょうか。

"<[\041-\073\075\077-\176]+@[\041-\073\075\077-\176]+>"

-- 
木下達也