Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Namazuv2.0.7 にクロスサイトスクリプティング脆弱性



  Namazu Project の野首です。ご報告ありがとうございます。

<20011125190436.6B71.TAKAGI.HIROMITSU@xxxxxxxxxx>の記事において
takagi.hiromitsu@xxxxxxxxxxさんは書きました。

>> Namazuについては、今年1月ごろからクロスサイトスクリプティング脆弱性の
>> 有無を度々調べていましたが、問題点を発見できずにいました。それが、今日、
>> Namazuを利用させていただくために、自分のサイトにインストールする際に
>> Namazuの機能の詳細を知った時点で、今回の問題に気付きました。もっと早く
>> 見つけ出しておくべきところ、力及ばなかったのが無念です。

  過去において、個人的に高木さんのセキュリティに関する講演を伺っていま
したので、その時に &quot; に関する問題についてもっとしっかりコードの調
査を行なうべきだったと、個人的に後悔しております。

>> ぜひとも告知用のリストを用意されて、今後見つかり得る脆弱性に適切な告知
>> ができる体制をご検討いただきたく思います。これは、Namazuの問題としてだ
>> けではなく、セキュリティ脆弱性が存在し得るすべてのソフトウェアの配布体
>> 制のお手本となっていただきたいという私の願いです。

  announce 用 ML の設立は今後検討させていただきます。今回については、
可能な限りのメディアに告知を行なおうと考えています。
  参考までに、今回のリリース案内の draft をこのメールの末尾に掲載いたし
ますので、もし問題があればご指摘下さい。

  セキュリティ考察のページに関しては書かれた時期も古く、足りない情報も
あるかと思います。旧バージョンへの対応や情報公開を含め、リリース次第考
えてゆく予定です。

  今後とも Namazu をよろしくお願いいたします。

-- リリースアナウンス文 (draft)

  Namazu 2.0.8 をリリースしました。

<http://www.namazu.org/stable/namazu-2.0.8.tar.gz>
<ftp://ftp.namazu.org/namazu/stable/namazu-2.0.8.tar.gz>

  今回は namazu.cgi に潜んでいたクロスサイトスクリプティング問題への対
策のためだけのリリースです。Namazu 単体では cookie の利用をしていない
ため、その場合は危険度はそれほど高くありません。しかし、利用者側で 
cookie を併用している場合にはその cookie が第三者に漏曳する可能性があ
ります。これに該当する方はもちろん、そうでない方も namazu.cgi の置き換
えだけを推奨します。

  クロスサイトスクリプティング問題に関しては、以下の情報が参考になりま
す。

Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報
(情報処理進行事業協会セキュリティセンター)
http://www.ipa.go.jp/security/ciadr/20011023css.html

CA-2000-02: Malicious HTML Tags Embedded in Client Requests
(CERT)
http://www.cert.org/advisories/CA-2000-02.html

--

Namazu 2.0.8 was released.

<http://www.namazu.org/stable/namazu-2.0.8.tar.gz>
<ftp://ftp.namazu.org/namazu/stable/namazu-2.0.8.tar.gz>

This release is a security fix for cross site scripting probrem in
namazu.cgi.  Namazu itself is not so dangerous because it don't use
HTTP cookie. However, if a user uses Namazu with HTTP cookie, the
cookie may be disclosed by a third party.  If you are conformed with
the case or not, we recommend you to upgrade this version of namazu.cgi.

Helpful information about "Cross site scripting" is the following:

CA-2000-02: Malicious HTML Tags Embedded in Client Requests
(CERT)
http://www.cert.org/advisories/CA-2000-02.html
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx
	knok@xxxxxxxxxx / knok@xxxxxxxxxx