[Namazu-users-ja 173] Re: [Namazu-devel-ja 373] 日本語全文検索システム Namazu 2.0.14 リリース

NOKUBI Takatsugu knok @ daionet.gr.jp
2004年 12月 15日 (水) 11:12:34 JST


At Wed, 15 Dec 2004 10:19:12 +0900,
Tadamasa Teranishi wrote:
> ■ 主な変更内容
> 
> - クロスサイトスクリプティング脆弱性の問題への対策
>     JVN#904429FE
>     namazu.cgi にタブ文字(%09)から始まる検索文字列を指定すると、
>     検索文字列がサニタイズされなくなり、クロスサイトスクリプティング
>     脆弱性が発生します。
>     このクロスサイトスクリプティング脆弱性の対策を行いました。

  この問題に対するworkaroundを示しておきます。

1. namazu.cgi及び.namazurcをwebから参照できない位置に移動する。以下の
説明では/usr/local/libに移動したものと仮定して説明している。

2. 本来のnamazu.cgiに変えて以下のスクリプトを作成し、適切な実行権限を
与える。

2.1. sh を使った方法
-- 
#!/bin/sh
QUERY_STRING=`echo "$QUERY_STRING" | sed -e 's/y=%09/y=%20/g'`
export QUERY_STRING
/usr/local/lib/namazu.cgi
-- 

2.2. perl を使った方法
-- 
!#/usr/bin/perl
$ENV{QUERY_STRING}=~s/y=%09/y=%20/g;
system("/usr/local/lib/namazu.cgi");
-- 
-- 
野首 貴嗣
E-mail: knok @ daionet.gr.jp
	knok @ namazu.org / knok @ debian.org
-------------- next part --------------
テキスト形式以外の添付ファイルを保管しました...
ファイル名: 無し
型:         application/pgp-signature
サイズ:     189 バイト
説明:       無し
URL:        http://www.namazu.org/pipermail/namazu-users-ja/attachments/20041215/70f24431/attachment.sig


Namazu-users-ja メーリングリストの案内