Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性



On Sun, 25 Nov 2001 23:16:39 +0900
"TAKAGI, Hiromitsu" <takagi.hiromitsu@xxxxxxxxxx> wrote:

> > このセキュリティ上の問題を修正した namazu 2.0.8 リリースの
> > 準備に早速取り掛かりたいと思うのですが、よろしいでしょうか?
> 
> 外野からのコメントですが、他にも同様の問題が残っているかもしれませんの
> で、ゆっくり、一度、全体を再確認なさった方がよいかもしれないと思います。

ユーザからの入力が、出力されるのは、

1. 検索式フォーム(と参考ヒット数)
2. ペイジリンク

の 2つだけですね。

1. については従来からタグを埋め込むことは不可能になって
いました。

今回 2. について、security hole が発見されたわけですが、
竹迫さんの修正で、こちらもタグを埋め込むことは不可能に
なったように思います。


// Kenji