namazu-dev(ring)

[knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)]

<200002140328.MAA17927@xxxxxxxxxxxxxx>の記事において
kenji@xxxxxxxxxxxxxxxxさんは書きました。

>> ただ私は、むしろ httpd の実行ユーザの権限で書き込み可能な
>> 任意のファイルに上書きできる点の方が重要だと思っています。

  あ、はい、もちろんそのことも危険だと思います。

# まあ、まっとうな感覚の人なら httpd の実行権限は極力他に影響しない設
# 定にしているとは思いますが...

>> あと、実際周りにある namazu.cgi をすべて upgrade する
>> というのは結構大変な作業だったりするので、なかなか upgrade
>> してもらえないことは必至です。広報作業はもっとしないと
>> いけませんね。

  そうですね。そういう意味でも、BUGTRAQ / BUGTRAQ-JP へのアナウンスは
有効だと思います。特に非日本語圏に向けての BUGTRAQ でのアナウンスは重
要ではないかと。

# とはいえ、major version の上がった Namazu を release する方が一般へ
# のインパクトは強いかも。

  それから、この機会に upgrade を行なわずに問題を回避するための方法も
示しておきます。
  具体的には、CGI の実行ファイルを以下の script におきかえるだけです。

-- ここから
#!/bin/sh
export NAMAZUCONF=`pwd`/.namazurc
/usr/bin/namazu
-- ここまで
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
        nokubi@xxxxxxxxx (official)