[Namazu-win32-users-ja 144] Namazu 2.0.14 for Win32 (β版) 公開
Yoshinori TAKESAKO
y_takesako @ dreamarts.co.jp
2004年 12月 15日 (水) 16:08:47 JST
竹迫です。
セキュリティフィックスリリースの namazu-2.0.14.tar.gz をベースに
Namazu 2.0.14 for Win32 のインストーラを作成しました。
* Namazu 2.0.14 for Win32 β版 (2004-12-15)
http://namazu.org/~takesako/pub/nmz2014beta.exe
size: 1,480,992 byte
md5 : 1e03e1adf4d95d6ca133b96f121014a1
sha1: 4b60118faabe3ac6ec61d13bbb06bc6aff85bffa
■ 注意点
---------
* 現在 Windows95/98上では、環境変数の自動設定ができません。
インストール後、手動で AUTOEXEC.BAT を書き換えてください。
何かお気づきの点がございましたら、ご報告お願いします。
At Wed, 15 Dec 2004 11:12:34 +0900
NOKUBI Takatsugu <knok @ daionet.gr.jp> wrote:
>
> At Wed, 15 Dec 2004 10:19:12 +0900,
> Tadamasa Teranishi wrote:
> > ■ 主な変更内容
> >
> > - クロスサイトスクリプティング脆弱性の問題への対策
> > JVN#904429FE
> > namazu.cgi にタブ文字(%09)から始まる検索文字列を指定すると、
> > 検索文字列がサニタイズされなくなり、クロスサイトスクリプティング
> > 脆弱性が発生します。
> > このクロスサイトスクリプティング脆弱性の対策を行いました。
>
> この問題に対するworkaroundを示しておきます。
>
> 1. namazu.cgi及び.namazurcをwebから参照できない位置に移動する。以下の
> 説明では/usr/local/libに移動したものと仮定して説明している。
>
> 2. 本来のnamazu.cgiに変えて以下のスクリプトを作成し、適切な実行権限を
> 与える。
>
> 2.1. sh を使った方法
> --
> #!/bin/sh
> QUERY_STRING=`echo "$QUERY_STRING" | sed -e 's/y=%09/y=%20/g'`
> export QUERY_STRING
> /usr/local/lib/namazu.cgi
> --
>
> 2.2. perl を使った方法
> --
> !#/usr/bin/perl
> $ENV{QUERY_STRING}=~s/y=%09/y=%20/g;
> system("/usr/local/lib/namazu.cgi");
> --
Namazu-win32-users-ja メーリングリストの案内