[Namazu-win32-users-ja 144] Namazu 2.0.14 for Win32 (β版) 公開

Yoshinori TAKESAKO y_takesako @ dreamarts.co.jp
2004年 12月 15日 (水) 16:08:47 JST


竹迫です。

セキュリティフィックスリリースの namazu-2.0.14.tar.gz をベースに
Namazu 2.0.14 for Win32 のインストーラを作成しました。

* Namazu 2.0.14 for Win32 β版 (2004-12-15)
  http://namazu.org/~takesako/pub/nmz2014beta.exe
  size: 1,480,992 byte
  md5 : 1e03e1adf4d95d6ca133b96f121014a1
  sha1: 4b60118faabe3ac6ec61d13bbb06bc6aff85bffa

■ 注意点
---------
* 現在 Windows95/98上では、環境変数の自動設定ができません。
  インストール後、手動で AUTOEXEC.BAT を書き換えてください。

何かお気づきの点がございましたら、ご報告お願いします。

At Wed, 15 Dec 2004 11:12:34 +0900
 NOKUBI Takatsugu <knok @ daionet.gr.jp> wrote:
> 
> At Wed, 15 Dec 2004 10:19:12 +0900,
> Tadamasa Teranishi wrote:
> > ■ 主な変更内容
> > 
> > - クロスサイトスクリプティング脆弱性の問題への対策
> >     JVN#904429FE
> >     namazu.cgi にタブ文字(%09)から始まる検索文字列を指定すると、
> >     検索文字列がサニタイズされなくなり、クロスサイトスクリプティング
> >     脆弱性が発生します。
> >     このクロスサイトスクリプティング脆弱性の対策を行いました。
> 
>   この問題に対するworkaroundを示しておきます。
> 
> 1. namazu.cgi及び.namazurcをwebから参照できない位置に移動する。以下の
> 説明では/usr/local/libに移動したものと仮定して説明している。
> 
> 2. 本来のnamazu.cgiに変えて以下のスクリプトを作成し、適切な実行権限を
> 与える。
> 
> 2.1. sh を使った方法
> -- 
> #!/bin/sh
> QUERY_STRING=`echo "$QUERY_STRING" | sed -e 's/y=%09/y=%20/g'`
> export QUERY_STRING
> /usr/local/lib/namazu.cgi
> -- 
> 
> 2.2. perl を使った方法
> -- 
> !#/usr/bin/perl
> $ENV{QUERY_STRING}=~s/y=%09/y=%20/g;
> system("/usr/local/lib/namazu.cgi");
> --





Namazu-win32-users-ja メーリングリストの案内