Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: 2.0.8pre1 (Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性)



<200111270540.OAA20526@xxxxxxxxxxxxx>の記事において
私は書きました。

>> * リリース時にできるだけの準備を整えた方が良い
>>   (最初のリリース時ぐらいしかニュースサイトは取り上げてくれないから)
>> 
>>   という興味深い示唆をいただきたましたので、リリースを急ぐだけでなく、
>> web の整備の方もすすめましょう。

  index.html,{ja,en}, security.html.ja を更新する準備をしておきました。
差分をメールの最後に掲載しておきます。
  それから、announce-ja@xxxxxxxxxx, announce-en@xxxxxxxxxx を作成しま
した。これは、devel, users を講読しているメンバー全員にメールが届きま
す。また、announce-{ja,en}単独を講読することも可能です。
  これに関する解説もまた書かないといけませんね...

# ML 設定にあたって Debian Project の鵜飼さんにいろいろと助言をいただ
# きました。

*** ../namazu-web/index.html.ja	Tue Nov 27 15:09:25 2001
--- index.html.ja	Tue Nov 27 15:11:35 2001
***************
*** 71,76 ****
--- 71,82 ----
  <h2><a name="news">新着情報</a></h2>
  
  <ul>
+ <li><strong>2001-11-2.</strong>: <a href="#stable">
+     Namazu 2.0.8 を公開</a><br>
+     <ul>
+       <li><strong>セキュリティフィックスリリース</strong><br>
+ 	  クロスサイトスクリプティング問題を修正
+     </ul>
  <li><strong>2001-09-13</strong>: <a href="#stable">
      Namazu 2.0.7 を公開</a><br>
      <ul>
***************
*** 184,191 ****
  <h3><a name="stable">安定版</a></h3>
  
  <ul>
! <li><a href="stable/namazu-2.0.7.tar.gz">
! namazu-2.0.7.tar.gz</a> (約 829 KB)
  
  <li><a href="stable/namazu-1.3.0.11.tar.gz">
  namazu-1.3.0.11.tar.gz</a> (約 337 KB)
--- 190,197 ----
  <h3><a name="stable">安定版</a></h3>
  
  <ul>
! <li><a href="stable/namazu-2.0.8.tar.gz">
! namazu-2.0.8.tar.gz</a> (約 829 KB)
  
  <li><a href="stable/namazu-1.3.0.11.tar.gz">
  namazu-1.3.0.11.tar.gz</a> (約 337 KB)
*** ../namazu-web/index.html.en	Thu Sep 13 15:55:55 2001
--- index.html.en	Tue Nov 27 16:27:42 2001
***************
*** 69,74 ****
--- 69,81 ----
  <h2><a name="news">News!</a></h2>
  
  <ul>
+ <li><strong>2001-11-2.</strong>: <a href="#stable">Namazu
+ 2.0.8 released</a></br>
+     <ul>
+       <li><strong>Security fix</strong> release.<br>
+ 	  Fixed <a href="http://www.cert.org/advisories/CA-2000-02.html">
+ 	  cross-site scripting</a> progrem.
+     </ul>
  <li><strong>2001-09-13</strong>: <a href="#stable">Namazu
  2.0.7 released</a><br>
      <ul>
***************
*** 190,197 ****
  <h3><a name="stable">Stable</a></h3>
  
  <ul>
! <li><a href="stable/namazu-2.0.7.tar.gz">
! namazu-2.0.7.tar.gz</a> (about 829 KB)
  <li><a href="stable/namazu-1.3.0.11.tar.gz">
  namazu-1.3.0.11.tar.gz</a> (about 337 KB)
  <li>Released versions: <a href="stable/">Web</a>, <a href="ftp://ftp.namazu.org/namazu/stable/">FTP</a>
--- 197,204 ----
  <h3><a name="stable">Stable</a></h3>
  
  <ul>
! <li><a href="stable/namazu-2.0.8.tar.gz">
! namazu-2.0.8.tar.gz</a> (about 829 KB)
  <li><a href="stable/namazu-1.3.0.11.tar.gz">
  namazu-1.3.0.11.tar.gz</a> (about 337 KB)
  <li>Released versions: <a href="stable/">Web</a>, <a href="ftp://ftp.namazu.org/namazu/stable/">FTP</a>
*** ../namazu-web/security.html.ja	Sun Feb 20 17:00:28 2000
--- security.html.ja	Tue Nov 27 15:26:57 2001
***************
*** 17,29 ****
  最新版はおそらく安全だとは思いますが、確実とは言えません。 
  Namazu は完全に無保証です。すべてあなたの責任のもとに運用し
  てください。ただし、セキュリティの問題にはできる限り対応する
! つもりです。まずい点を見つけたらこっそり<a
  href="mailto:bug-namazu@xxxxxxxxxx">連絡</a>してください。
  </p>
  
  <h2><a name="known-problems">既知の問題</a></h2>
  
  <ul>
  <li>1.3.0.10 または 1.3.0.10より古いヴァージョンには /tmp な
  どにゴミのファイルを作られてしまうというセキュリティホールが
  あります。必ず 1.3.0.11を利用してください。
--- 17,31 ----
  最新版はおそらく安全だとは思いますが、確実とは言えません。 
  Namazu は完全に無保証です。すべてあなたの責任のもとに運用し
  てください。ただし、セキュリティの問題にはできる限り対応する
! つもりです。まずい点を見つけたら<!-- こっそり --><a
  href="mailto:bug-namazu@xxxxxxxxxx">連絡</a>してください。
  </p>
  
  <h2><a name="known-problems">既知の問題</a></h2>
  
  <ul>
+ <li>2.0.7 または 2.0.7 より古いヴァージョンには、cross-site scripting
+ 問題があります。極力 2.0.8 以降を利用することを推奨します。
  <li>1.3.0.10 または 1.3.0.10より古いヴァージョンには /tmp な
  どにゴミのファイルを作られてしまうというセキュリティホールが
  あります。必ず 1.3.0.11を利用してください。
***************
*** 45,65 ****
  ルト 64個)
  <li>検索は遅くても数秒程度で終わる (正規表現が一番遅い)
  <li>無限ループは起こらないはず (100%とは言えません)
! <li>検索式の入力 ('&lt;' や '&gt;' といった記号) によって HTML の
! 出力を壊すことはできないはず
  <li>検索中に接続を切られるとどうなるの?<br>
      → Apache ではその瞬間に kill されるようです
  <li>できるだけ新しい版を使ってください。 
  <li>バッファが溢れる可能性は否定できません (気をつけてはいますが)
  </ul>
  
  
  <h2><a name="thanks">謝辞</a></h2>
  
  <p>
  この文書の必要性を気づかせてくれた<a
! href="mailto:yasuhi-a@xxxxxxxxxxxxxxxxxx">あらきやすひろ</a>さんに
  感謝します。
  </p>
  
  <hr>
--- 47,94 ----
  ルト 64個)
  <li>検索は遅くても数秒程度で終わる (正規表現が一番遅い)
  <li>無限ループは起こらないはず (100%とは言えません)
! <li>検索式の入力 ('&lt;' や '&gt;', '&quot;' といった記号) によって任意の
! HTML タグを出力させることはできないはず(参考:
! <a href="#cross-site-scripting">cross-site-scripting</a>)
  <li>検索中に接続を切られるとどうなるの?<br>
      → Apache ではその瞬間に kill されるようです
  <li>できるだけ新しい版を使ってください。 
  <li>バッファが溢れる可能性は否定できません (気をつけてはいますが)
  </ul>
  
+ <h3><a name="cross-site-scripting">cross-site scripting</a></h3>
+ <p>
+ cross-site scripting は、外部からの入力をそのまま HTML として解釈させて
+ しまうことによって、任意の HTML タグを埋めこんだり、script を実行
+ させることができてしまう問題を意味します。<br>
+ サーバ側に直接なんらかの問題は発生しませんが、クライアント側に
+ (時によっては多大な)影響を与えることがあります。特に、cookie を
+ 利用しているようなサイトでは、その値が第三者に漏曳する可能性があり、
+ cookie の用途によっては非常に危険です。
+ </p>
+ <p>
+ cross-site scripting に関しては以下の情報が参考になります。
+ <dl>
+   <dt><a href="http://www.ipa.go.jp/security/ciadr/20011023css.html">
+ Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報</a>
+   <dd>(IPA セキュリティセンター)
+   <dt><a href="http://www.cert.org/advisories/CA-2000-02.html">
+ CA-2000-02: Malicious HTML Tags Embedded in Client Requests</a>
+   <dd>(CERT)
+ </dl>
+ </p>
  
  <h2><a name="thanks">謝辞</a></h2>
  
  <p>
  この文書の必要性を気づかせてくれた<a
! href="mailto:araki@xxxxxxxxx">あらきやすひろ</a>さんに
  感謝します。
+ </p>
+ <p>
+ Namazu に存在していた cross-site scripting 問題は、高木浩光氏
+ (独立行政法人産業技術総合研究所)によって発見されました。
+ 氏よりのご報告に感謝します。
  </p>
  
  <hr>
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx
	knok@xxxxxxxxxx / knok@xxxxxxxxxx