[Namazu-win32-users-ja 146] Re: Namazu 2.0.14 for Win32 (β版) 公開

Yoshinori TAKESAKO y_takesako @ dreamarts.co.jp
2004年 12月 15日 (水) 22:12:52 JST


竹迫です。

Namazu 2.0.14 for Win32 バイナリパッケージの namazu.cgi.exe を
ZIPで圧縮したファイル nmz2014-cgi.zip を用意しました。

* Namazu 2.0.14 for Win32 の namazu.cgi.exe
  http://namazu.org/~takesako/pub/nmz2014-cgi.zip
  (size: 59,244 byte)
  (md5sum: f24c606d45ee5d7fcac143f8884220d1)
  (sha1sum: 9836b5465db8e29ef108c0a33a574d240191fb15)

さきほどのファイルは、Webサーバの設定でダウンロードできないように
なっていましたので(おそらくファイル名に.cgiを含むため)、
ZIPで圧縮してダウンロードできるようにしました。

さきほどの namazu.cgi.exe は直接ダウンロードできないため
削除することにします。度々すみません。

At Wed, 15 Dec 2004 21:59:40 +0900
 Yoshinori TAKESAKO <y_takesako @ dreamarts.co.jp> wrote:
>
> 竹迫です。
> 
> 要望がありましたので、Namazu 2.0.14 for Win32 バイナリパッケージから
> namazu.cgi.exe のみを抜き出して、ダウンロードできるようにしました。
> 
> * Namazu 2.0.14 for Win32 の namazu.cgi.exe
>   http://namazu.org/~takesako/pub/nmz2014/namazu.cgi.exe
>   (size: 166,400 byte)
>   (md5sum: fd3e66fd32064eff65892869230b701e)
>   (sha1sum: 09a8f9183fcced14c92ea75921367e45c6d8995e)
> 
> 本脆弱性の影響は namazu.cgi.exe を使用している環境のみとなりますので、
> 安易にバージョンアップできない環境などでは、取り急ぎ、このファイルの
> 置き換えなども検討してみてください。
> 
> よろしくお願いします。
> 
> At Wed, 15 Dec 2004 16:08:47 +0900
>  Yoshinori TAKESAKO <y_takesako @ dreamarts.co.jp> wrote:
> >
> > 竹迫です。
> > 
> > セキュリティフィックスリリースの namazu-2.0.14.tar.gz をベースに
> > Namazu 2.0.14 for Win32 のインストーラを作成しました。
> > 
> > * Namazu 2.0.14 for Win32 β版 (2004-12-15)
> >   http://namazu.org/~takesako/pub/nmz2014beta.exe
> >   size: 1,480,992 byte
> >   md5 : 1e03e1adf4d95d6ca133b96f121014a1
> >   sha1: 4b60118faabe3ac6ec61d13bbb06bc6aff85bffa
> > 
> > ■ 注意点
> > ---------
> > * 現在 Windows95/98上では、環境変数の自動設定ができません。
> >   インストール後、手動で AUTOEXEC.BAT を書き換えてください。
> > 
> > 何かお気づきの点がございましたら、ご報告お願いします。
> > 
> > At Wed, 15 Dec 2004 11:12:34 +0900
> >  NOKUBI Takatsugu <knok @ daionet.gr.jp> wrote:
> > > 
> > > At Wed, 15 Dec 2004 10:19:12 +0900,
> > > Tadamasa Teranishi wrote:
> > > > ■ 主な変更内容
> > > > 
> > > > - クロスサイトスクリプティング脆弱性の問題への対策
> > > >     JVN#904429FE
> > > >     namazu.cgi にタブ文字(%09)から始まる検索文字列を指定すると、
> > > >     検索文字列がサニタイズされなくなり、クロスサイトスクリプティング
> > > >     脆弱性が発生します。
> > > >     このクロスサイトスクリプティング脆弱性の対策を行いました。
> > > 
> > >   この問題に対するworkaroundを示しておきます。
> > > 
> > > 1. namazu.cgi及び.namazurcをwebから参照できない位置に移動する。以下の
> > > 説明では/usr/local/libに移動したものと仮定して説明している。
> > > 
> > > 2. 本来のnamazu.cgiに変えて以下のスクリプトを作成し、適切な実行権限を
> > > 与える。
> > > 
> > > 2.1. sh を使った方法
> > > -- 
> > > #!/bin/sh
> > > QUERY_STRING=`echo "$QUERY_STRING" | sed -e 's/y=%09/y=%20/g'`
> > > export QUERY_STRING
> > > /usr/local/lib/namazu.cgi
> > > -- 
> > > 
> > > 2.2. perl を使った方法
> > > -- 
> > > !#/usr/bin/perl
> > > $ENV{QUERY_STRING}=~s/y=%09/y=%20/g;
> > > system("/usr/local/lib/namazu.cgi");
> > > --





Namazu-win32-users-ja メーリングリストの案内