[Namazu-win32-users-ja 145] Re: Namazu 2.0.14 for Win32 (β版) 公開

Yoshinori TAKESAKO y_takesako @ dreamarts.co.jp
2004年 12月 15日 (水) 21:59:40 JST


竹迫です。

要望がありましたので、Namazu 2.0.14 for Win32 バイナリパッケージから
namazu.cgi.exe のみを抜き出して、ダウンロードできるようにしました。

* Namazu 2.0.14 for Win32 の namazu.cgi.exe
  http://namazu.org/~takesako/pub/nmz2014/namazu.cgi.exe
  (size: 166,400 byte)
  (md5sum: fd3e66fd32064eff65892869230b701e)
  (sha1sum: 09a8f9183fcced14c92ea75921367e45c6d8995e)

本脆弱性の影響は namazu.cgi.exe を使用している環境のみとなりますので、
安易にバージョンアップできない環境などでは、取り急ぎ、このファイルの
置き換えなども検討してみてください。

よろしくお願いします。

At Wed, 15 Dec 2004 16:08:47 +0900
 Yoshinori TAKESAKO <y_takesako @ dreamarts.co.jp> wrote:
>
> 竹迫です。
> 
> セキュリティフィックスリリースの namazu-2.0.14.tar.gz をベースに
> Namazu 2.0.14 for Win32 のインストーラを作成しました。
> 
> * Namazu 2.0.14 for Win32 β版 (2004-12-15)
>   http://namazu.org/~takesako/pub/nmz2014beta.exe
>   size: 1,480,992 byte
>   md5 : 1e03e1adf4d95d6ca133b96f121014a1
>   sha1: 4b60118faabe3ac6ec61d13bbb06bc6aff85bffa
> 
> ■ 注意点
> ---------
> * 現在 Windows95/98上では、環境変数の自動設定ができません。
>   インストール後、手動で AUTOEXEC.BAT を書き換えてください。
> 
> 何かお気づきの点がございましたら、ご報告お願いします。
> 
> At Wed, 15 Dec 2004 11:12:34 +0900
>  NOKUBI Takatsugu <knok @ daionet.gr.jp> wrote:
> > 
> > At Wed, 15 Dec 2004 10:19:12 +0900,
> > Tadamasa Teranishi wrote:
> > > ■ 主な変更内容
> > > 
> > > - クロスサイトスクリプティング脆弱性の問題への対策
> > >     JVN#904429FE
> > >     namazu.cgi にタブ文字(%09)から始まる検索文字列を指定すると、
> > >     検索文字列がサニタイズされなくなり、クロスサイトスクリプティング
> > >     脆弱性が発生します。
> > >     このクロスサイトスクリプティング脆弱性の対策を行いました。
> > 
> >   この問題に対するworkaroundを示しておきます。
> > 
> > 1. namazu.cgi及び.namazurcをwebから参照できない位置に移動する。以下の
> > 説明では/usr/local/libに移動したものと仮定して説明している。
> > 
> > 2. 本来のnamazu.cgiに変えて以下のスクリプトを作成し、適切な実行権限を
> > 与える。
> > 
> > 2.1. sh を使った方法
> > -- 
> > #!/bin/sh
> > QUERY_STRING=`echo "$QUERY_STRING" | sed -e 's/y=%09/y=%20/g'`
> > export QUERY_STRING
> > /usr/local/lib/namazu.cgi
> > -- 
> > 
> > 2.2. perl を使った方法
> > -- 
> > !#/usr/bin/perl
> > $ENV{QUERY_STRING}=~s/y=%09/y=%20/g;
> > system("/usr/local/lib/namazu.cgi");
> > --





Namazu-win32-users-ja メーリングリストの案内