Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性
On Sun, 25 Nov 2001 23:16:39 +0900
"TAKAGI, Hiromitsu" <takagi.hiromitsu@xxxxxxxxxx> wrote:
> > このセキュリティ上の問題を修正した namazu 2.0.8 リリースの
> > 準備に早速取り掛かりたいと思うのですが、よろしいでしょうか?
>
> 外野からのコメントですが、他にも同様の問題が残っているかもしれませんの
> で、ゆっくり、一度、全体を再確認なさった方がよいかもしれないと思います。
ユーザからの入力が、出力されるのは、
1. 検索式フォーム(と参考ヒット数)
2. ペイジリンク
の 2つだけですね。
1. については従来からタグを埋め込むことは不可能になって
いました。
今回 2. について、security hole が発見されたわけですが、
竹迫さんの修正で、こちらもタグを埋め込むことは不可能に
なったように思います。
// Kenji