Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: 2.0.8pre1 (Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性)



<200111270204.LAA18903@xxxxxxxxxxxxx>の記事において
私は書きました。

>>   とりあえず、今 make check をしているところです。

  Debian sid にで make check が全て通ることを確認しました。できれば今
回の fix に対応した test script を書きたいところですが、まずはリリース
を忙ぎましょう。

>> * ML へのアナウンス文面の作成

  とりあえず書いてみましたので、このメールの最後に載せておきます。修正
歓迎(特に英語文面 ^^; 時制がちょっとおかしいような...)。

>> * 著名な web site への連絡

  とりあえず slashdot あたりを考えていますが、著名なニュースサイトあた
りにも投げた方がいいですかね?

>> * その筋の ML への連絡 (BUGTRAQ-J?)

  memo ML にも投げましょう。

>> * 高木さんへの返信

  これは私から返信をしておきます。

--
  Namazu 2.0.8 をリリースしました。

<http://www.namazu.org/stable/namazu-2.0.8.tar.gz>
<ftp://ftp.namazu.org/namazu/stable/namazu-2.0.8.tar.gz>

  今回は namazu.cgi に潜んでいたクロスサイトスクリプティング問題への対
策のためだけのリリースです。Namazu 単体では cookie の利用をしていない
ため、その場合は危険度はそれほど高くありません。しかし、利用者側で 
cookie を併用している場合にはその cookie が第三者に漏曳する可能性があ
ります。これに該当する方はもちろん、そうでない方も namazu.cgi の置き換
えだけを推奨します。

  クロスサイトスクリプティング問題に関しては、以下の情報が参考になりま
す。

Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報
(情報処理進行事業協会セキュリティセンター)
http://www.ipa.go.jp/security/ciadr/20011023css.html

CA-2000-02: Malicious HTML Tags Embedded in Client Requests
(CERT)
http://www.cert.org/advisories/CA-2000-02.html

--

Namazu 2.0.8 was released.

<http://www.namazu.org/stable/namazu-2.0.8.tar.gz>
<ftp://ftp.namazu.org/namazu/stable/namazu-2.0.8.tar.gz>

This release is a security fix for cross site scripting probrem in
namazu.cgi.  Namazu itself is not so dangerous because it don't use
HTTP cookie. However, if a user uses Namazu with HTTP cookie, the
cookie may be disclosed by a third party.  If you are conformed with
the case or not, we recommend you to upgrade this version of namazu.cgi.

Helpful information about "Cross site scripting" is the following:

CA-2000-02: Malicious HTML Tags Embedded in Client Requests
(CERT)
http://www.cert.org/advisories/CA-2000-02.html
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx
	knok@xxxxxxxxxx / knok@xxxxxxxxxx