Namazu-devel-ja(旧)

[Tadamasa Teranishi <yw3t-trns@xxxxxxxxxxxxxxx>]

寺西です。

knok@xxxxxxxxxxxxx wrote:
> 
>   以前 QUERY_STRINGS に %x%x%x.. などと指定すると変な出力がなされるの
> で、これは format string bug ではないかという指摘がありました。これは
> 結局 nmz_decode_uri の問題で、
> 
> * %xx をとにかく処理しようとする
> * %x の数の都合で NULL を越えてしまった
> * 出力がおかしくなった
> 
>   という原因だったので、直さなければと思っていたのですが、とりあえず終
> 端チェックを途中にも追加して commit しておきました。

これはどちらかといえば、致命的なバグの分類にあたるので、直してい
ただくのがありがたいです。

>   実際には QUERY_STRING の内容は通常 web server によって指定され、変換
> ルールも単純なのでこのようなおかしな入力はまず発生しないと考えられ、
> remote からの影響はまずないだろうと予想しています。

Web ブラウザの uri の欄に直接指定入力で、問題の query を指定できるので
はないでしょうか?
# いかにも攻撃目的に使えそうにも思えますが、私、何か勘違いしています?

害がどれくらいあるかは分かりませんが、何にしても、これは直した方が
いいです。
 
>   あとやらなければならないこととして、以前土屋さんに提供いただいた
> content negotiation 対応パッチの改良があるのですが、リリースまでに実装
> が間に合わないようなら次でもいいかなと思います。

これは 2.0.14 にしましょう。
 
> # あと至極個人的な要望としては、リリース予定日を29日にしていただけると
> # なんとなくうれしいです。なんとなくなですが。

白状してしまいますが、28,29 日は遊びに行っているので、全く何もでき
ません。(役立たずです。すみません。)

# で、よければ 29日にリリースしていただいて、何ら問題ありません。
# (他力本願モード)
-- 
=====================================================================
寺西 忠勝(TADAMASA TERANISHI)  yw3t-trns@xxxxxxxxxxxxxxx
http://www.asahi-net.or.jp/~yw3t-trns/index.htm
Key fingerprint =  474E 4D93 8E97 11F6 662D  8A42 17F5 52F4 10E7 D14E