Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Namazuv2.0.7 にクロスサイトスクリプティング脆弱性



On Tue, 27 Nov 2001 11:59:29 JST
knok@xxxxxxxxxxxxx (NOKUBI Takatsugu) wrote:

>   過去において、個人的に高木さんのセキュリティに関する講演を伺っていま
> したので、その時に " に関する問題についてもっとしっかりコードの調
> 査を行なうべきだったと、個人的に後悔しております。

同様です。Form については見ていたのですが、Page に気が付きません
でした。
 

> Namazu 2.0.8 was released.
> 
> <http://www.namazu.org/stable/namazu-2.0.8.tar.gz>
> <ftp://ftp.namazu.org/namazu/stable/namazu-2.0.8.tar.gz>
> 
> This release is a security fix for cross site scripting probrem in
> namazu.cgi.  

> Namazu itself is not so dangerous because it don't use
> HTTP cookie.

Namazu itself does not affected by the security hole, because
it doesn't use HTTP cookie.

> However, if a user uses Namazu with HTTP cookie, the
> cookie may be disclosed by a third party.  

However, if your web site uses both Namazu and HTTP cookie,
the cookies may be stolen by a third party.

くらいの方がよいかと。


// Kenji