Namazu-devel-ja(旧)

["TAKAGI, Hiromitsu" <takagi.hiromitsu@xxxxxxxxxx>]

Namazuのみなさま：

高木でございます。

先ほどのメールに、個人的なコメントとして、補足をさせてください。

Namazuについては、今年1月ごろからクロスサイトスクリプティング脆弱性の
有無を度々調べていましたが、問題点を発見できずにいました。それが、今日、
Namazuを利用させていただくために、自分のサイトにインストールする際に
Namazuの機能の詳細を知った時点で、今回の問題に気付きました。もっと早く
見つけ出しておくべきところ、力及ばなかったのが無念です。

これまで各所のeコーマースサイトを調べてまわっているうちに、Namazuが使
用されているサイトを数多く目にしました。今回の脆弱性の影響によって
cookieの漏洩につながるeコマースサイトは数多く存在すると思われます。

なにとぞ、的確な方法でできるだけ多くのNamazuユーザにアップデートの必要
性を伝えて欲しいと思います。

メーリングリストの運用状況を拝見したところ、namazu-users-ja はあるもの
の、これは情報交換用のメーリングリストで、namazu-announce-ja といった
告知用のリストが用意されていないようでした。既に安定した運用に入ってい
るユーザ達は、おそらく namazu-users-ja を購読していないのではないでしょ
うか。

ぜひとも告知用のリストを用意されて、今後見つかり得る脆弱性に適切な告知
ができる体制をご検討いただきたく思います。これは、Namazuの問題としてだ
けではなく、セキュリティ脆弱性が存在し得るすべてのソフトウェアの配布体
制のお手本となっていただきたいという私の願いです。

また、「Namazuのセキュリティに関する考察」
http://www.namazu.org/security.html
のページを拝見しました。こうしたページが用意されていることは大変良いこ
とと思います。クロスサイトスクリプティング脆弱性については、

 | 検索式の入力 ('<' や '>' といった記号) によって HTML の出力を壊すこ
 | とはできないはず 
 
と書かれていますが、「HTMLの出力を壊す」といったことではなく、これがセ
キュリティ上の脅威となり得ることを（あるいは、「クロスサイトスクリプティ
ング (cross-site scripting)」というキーワードを）、明示された方がよい
のではないかと思います。

また、古い、Namazu v1.3.X には、検索式に入力されたタグがエスケープされ
ないという、同脆弱性があったと思います。まだそうした古いNamazuを使用し
ているサイトも見かけました。新着情報を見ても、どのバージョンで修正され
たのかわかりませんでした。この点も明確になさる方がよいのではないかと思
います。


高木 浩光＠独立行政法人産業技術総合研究所
http://staff.aist.go.jp/takagi.hiromitsu/