Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Namazuv2.0.7 にクロスサイトスクリプティング脆弱性
On Tue, 27 Nov 2001 11:59:29 JST
knok@xxxxxxxxxxxxx (NOKUBI Takatsugu) wrote:
> 過去において、個人的に高木さんのセキュリティに関する講演を伺っていま
> したので、その時に " に関する問題についてもっとしっかりコードの調
> 査を行なうべきだったと、個人的に後悔しております。
同様です。Form については見ていたのですが、Page に気が付きません
でした。
> Namazu 2.0.8 was released.
>
> <http://www.namazu.org/stable/namazu-2.0.8.tar.gz>
> <ftp://ftp.namazu.org/namazu/stable/namazu-2.0.8.tar.gz>
>
> This release is a security fix for cross site scripting probrem in
> namazu.cgi.
> Namazu itself is not so dangerous because it don't use
> HTTP cookie.
Namazu itself does not affected by the security hole, because
it doesn't use HTTP cookie.
> However, if a user uses Namazu with HTTP cookie, the
> cookie may be disclosed by a third party.
However, if your web site uses both Namazu and HTTP cookie,
the cookies may be stolen by a third party.
くらいの方がよいかと。
// Kenji