Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: クロスサイトスクリプティング脆弱性 (ver2.0.10)
On Tue, 26 Mar 2002 13:58:44 JST
knok@xxxxxxxxxxxxx (NOKUBI Takatsugu) wrote:
> <20020326125843.10385773.-1841068586@xxxxxxxxxxxxxxxxxxxxxxx>の記事において
> hanai-a@xxxxxxxxxxxxxxxxxxxxxxxさんは書きました。
> >> cgiの呼び出しにて、存在しないインデックスを
> >> http://〜/cgi-bin/namazu.cgi.exe?idxname=hoge
> >> と指定すると、下記のようなエラーが返ってきます。
> >>
> >> namazu: D:\namazu\var\namazu\index/hoge/NMZ.head: No such file or directory
> >> namazu: D:\namazu\var\namazu\index/hoge/NMZ.body: No such file or directory
> >> namazu: D:\namazu\var\namazu\index/hoge/NMZ.foot: No such file or directory
>
> おそらく read_headfoot() 等から nmz_warn_printf() を呼び出して出力さ
> れたものだと思います。これは stderr に出力する関数なのですが、Unix で
> apache 等で利用している分には、stderr の出力は HTTP の出力には反映され
> ない(error.log 等に出力される)ので問題にならないようです。
> IIS は違うようですが、apache 以外でも同様の挙動をする実装がないとは
> いいきれません... ということで確かに問題ですね。
これに関連してですが、
Namazuのクロスサイトスクリプティング脆弱性は、Apacheで使う場合には
2.0.10で解決していて、2.0.11 と 2.0.12で修正された点は、IISで使う場合
だけの問題と認識していました。http://www.namazu.org/security.html#stderr
ところが、 http://www.office.ac/tearoom/noframe.cgi#No.1254 で知ったの
ですが、Apacheで使っている場合でも、
http://example.com/cgi-bin/namazu/namazu.cgi?idxname=../<s>test</s>
にアクセスしたときのエラーメッセージが、画面に出て、Namazu 2.0.10 では
クロスサイトスクリプティング脆弱性が発現しました。Namazu 2.0.12 では直っ
ているようです。
これはどこで修正されたのでしょう? 2.0.11でしょうか?
高木 浩光@独立行政法人産業技術総合研究所
http://staff.aist.go.jp/takagi.hiromitsu/