Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性
Namazuのみなさま:
高木でございます。
先ほどのメールに、個人的なコメントとして、補足をさせてください。
Namazuについては、今年1月ごろからクロスサイトスクリプティング脆弱性の
有無を度々調べていましたが、問題点を発見できずにいました。それが、今日、
Namazuを利用させていただくために、自分のサイトにインストールする際に
Namazuの機能の詳細を知った時点で、今回の問題に気付きました。もっと早く
見つけ出しておくべきところ、力及ばなかったのが無念です。
これまで各所のeコーマースサイトを調べてまわっているうちに、Namazuが使
用されているサイトを数多く目にしました。今回の脆弱性の影響によって
cookieの漏洩につながるeコマースサイトは数多く存在すると思われます。
なにとぞ、的確な方法でできるだけ多くのNamazuユーザにアップデートの必要
性を伝えて欲しいと思います。
メーリングリストの運用状況を拝見したところ、namazu-users-ja はあるもの
の、これは情報交換用のメーリングリストで、namazu-announce-ja といった
告知用のリストが用意されていないようでした。既に安定した運用に入ってい
るユーザ達は、おそらく namazu-users-ja を購読していないのではないでしょ
うか。
ぜひとも告知用のリストを用意されて、今後見つかり得る脆弱性に適切な告知
ができる体制をご検討いただきたく思います。これは、Namazuの問題としてだ
けではなく、セキュリティ脆弱性が存在し得るすべてのソフトウェアの配布体
制のお手本となっていただきたいという私の願いです。
また、「Namazuのセキュリティに関する考察」
http://www.namazu.org/security.html
のページを拝見しました。こうしたページが用意されていることは大変良いこ
とと思います。クロスサイトスクリプティング脆弱性については、
| 検索式の入力 ('<' や '>' といった記号) によって HTML の出力を壊すこ
| とはできないはず
と書かれていますが、「HTMLの出力を壊す」といったことではなく、これがセ
キュリティ上の脅威となり得ることを(あるいは、「クロスサイトスクリプティ
ング (cross-site scripting)」というキーワードを)、明示された方がよい
のではないかと思います。
また、古い、Namazu v1.3.X には、検索式に入力されたタグがエスケープされ
ないという、同脆弱性があったと思います。まだそうした古いNamazuを使用し
ているサイトも見かけました。新着情報を見ても、どのバージョンで修正され
たのかわかりませんでした。この点も明確になさる方がよいのではないかと思
います。
高木 浩光@独立行政法人産業技術総合研究所
http://staff.aist.go.jp/takagi.hiromitsu/