[Namazu-win32-users-ja 575] 日本語全文検索システム Namazu 2.0.16 リリース

Tadamasa Teranishi yw3t-trns @ asahi-net.or.jp
2006年 3月 12日 (日) 22:38:31 JST


                                                       2006年03月12日
                                                       Namazu Project

           日本語全文検索システム Namazu 2.0.16 リリース


 Namazu Project は、オープンソースソフトウェア  Namazu 2.0.16 を
2006年03月12日にリリースいたしました。
 GPL2(GNU General Public License version 2)に従って、Webサイトにて
一般公開したことを発表します。

 Namazu は手軽に使えることを第一に目指した日本語全文検索システムです。
CGI として動作させることにより小中規模の WWW 全文検索システムを構築す
ることができるほか、コマンドラインから利用する用途にも使えます。 

  先日リリースした Namazu 2.0.15 を含め、2.0.15 以前の全てのバージョ
ンの namazu.cgi に Directory Traversal 問題があることがわかりました。
  Webサイト上で Windows 系 OS で Namazu 2.0.15 以前のバージョンを使
用して検索処理を実現している全てのサイトで Directory Traversal 問題が
存在し、Web サーバ内のファイルの内容を奪取等が可能になります。このた
め、この対策を行った Namazu 2.0.16 をセキュリティフィックスリリースと
して公開いたします。
  UNIX 系 OS 利用の場合は、通常利用環境において問題が起こらないことを
確認していますが、条件がそろえば問題を起こしますので、Namazu 2.0.15
以前のバージョンをご利用の方は、バージョンアップをお勧めいたします。
  Namazu 1.X をご利用の方も 2.0.16 にバージョンアップをお勧めいたしま
す。

  今回の Directory Traversal 問題は、pnamazu でも同様に問題が起こるこ
とを確認しています。pnamazu ご利用の方も対策済みのバージョンにバージョ
ンアップを実施されることをお勧めいたします。

■ 主な変更内容

- Directory Traversal 問題への対策
    namazu.cgi の CGI パラメータ lang, result にディレクトリを遡るよ
    うなパスを指定すると、Directory Traversal 問題が発生します。
    この Directory Traversal 問題の対策を行いました。

- 空白を含むファイル名の文書に対応

- NTFS のアクセス権で読み込み許可がないものは処理をスキップするように
  変更

- MeCab-perl-0.90rc10 への対応

■ 配布元
  Namazu 2.0.16 は、
 Namazu Web サイト <http://www.namazu.org/> で配布しています。

  pnamazu は、
  pnamazu Web サイト <http://www01.tcp-ip.or.jp/~furukawa/pnamazu/>
 で配布しています。

■ ライセンス
 GPL2

■ 本件に関するお問合せ先
  Namazu Project
 e-mail: info @ namazu.org
  URL: http://www.namazu.org/
-- 
=====================================================================
寺西 忠勝(TADAMASA TERANISHI)  yw3t-trns @ asahi-net.or.jp
http://www.asahi-net.or.jp/~yw3t-trns/index.htm
Key fingerprint =  474E 4D93 8E97 11F6 662D  8A42 17F5 52F4 10E7 D14E




Namazu-win32-users-ja メーリングリストの案内