[Namazu-users-ja 172] 日本語全文検索システム Namazu 2.0.14 リリース

Tadamasa Teranishi yw3t-trns @ asahi-net.or.jp
2004年 12月 15日 (水) 10:19:12 JST


                                                       2004年12月15日
                                                       Namazu Project

           日本語全文検索システム Namazu 2.0.14 リリース


 Namazu Project は、オープンソースソフトウェア  Namazu 2.0.14 を
2004年12月15日にリリースいたしました。
 GPL2(GNU General Public License version 2)に従って、Webサイトにて
一般公開したことを発表します。

 Namazu は手軽に使えることを第一に目指した日本語全文検索システムです。
CGI として動作させることにより小中規模の WWW 全文検索システムを構築す
ることができるほか、コマンドラインから利用する用途にも使えます。 

  Namazu 2.0.13 または 2.0.13 より古いバージョンの namazu.cgi にクロス
サイトスクリプティング 脆弱性の問題があることがわかりました。
  Webサイト上で Namazu 2.0.13 または 2.0.13 より古いバージョンを使用し
て検索処理を実現している全てのサイトでクロスサイトスクリプティング脆弱
性が存在し、Web ページ内容の改竄、クッキー情報の奪取等が可能になります。
このため、この対策を行った Namazu 2.0.14 をセキュリティフィックスリリー
スとして公開いたします。
  Namazu 2.0.13 または 2.0.13 より古いバージョンをご利用の方は、是非
バージョンアップを実施されることをお勧めいたします。

  今回のクロスサイトスクリプティング脆弱性の問題は、発見者によって
情報処理推進機構(略称: IPA)に届出られたもので、JPCERTコーディネーション
センター(略称: JPCERT/CC)の協力の下、脆弱性関連情報を提供していただ
いたもので、Namazu Project が対策を行いました。

■ 主な変更内容

- クロスサイトスクリプティング脆弱性の問題への対策
    JVN#904429FE
    namazu.cgi にタブ文字(%09)から始まる検索文字列を指定すると、
    検索文字列がサニタイズされなくなり、クロスサイトスクリプティング
    脆弱性が発生します。
    このクロスサイトスクリプティング脆弱性の対策を行いました。

■ 参考
  JVN#904429FE
  namazuにクロスサイトスクリプティングの脆弱性
  
  http://jvn.jp/jp/JVN%23904429FE.html

■ 備考
  Namazu 2.0.14 は、セキュリティフィックスリリースのため、Namazu 2.0.13
に対して脆弱性の対策のみを行ったバージョンとなっています。その他のバグ
修正、機能追加、仕様変更等はこのリリースに含まれておりません。
Namazu 2.0.13 の既知の不具合に対しては、次バージョンの Namazu 2.0.15 で
対応を予定しております。

■ 配布元
 Namazu Web サイト http://www.namazu.org/ で配布しています。

■ ライセンス
 GPL2

■ 本件に関するお問合せ先
  Namazu Project
 e-mail: info @ namazu.org
  URL: http://www.namazu.org/
-- 
=====================================================================
寺西 忠勝(TADAMASA TERANISHI)  yw3t-trns @ asahi-net.or.jp
http://www.asahi-net.or.jp/~yw3t-trns/index.htm
Key fingerprint =  474E 4D93 8E97 11F6 662D  8A42 17F5 52F4 10E7 D14E




Namazu-users-ja メーリングリストの案内