Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: 2.0.8pre1 (Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性)
In message <20011127173300Y.takesako@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>
on Tue, 27 Nov 2001 17:33:00 +0900,
Yoshinori Takesako <takesako@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx> wrote:
> On Tue, 27 Nov 2001 17:16:10 JST
> knok@xxxxxxxxxxxxx (NOKUBI Takatsugu) wrote:
> > <200111270800.fAR80tF02895@xxxxxxxxxxxxxxxxxxxxxxxxxxx>の記事において
> > taca@xxxxxxxxxxxxxxxxxxxxxxさんは書きました。
> >
> > >> 1.3系は、既に保守は終わっているのだと思いますが、できれば公式なパッチ
> > >> があると幸せになるところも多いのではないでしょうか。
> >
> > とりあえず 1.3 用のパッチを書いてみました。チェックはしていませんの
> > で、どなたか試してみていただけると嬉しいです。
素晴らしい!
> 野首さん、ありがとうございます。早速試してみましたが、
試す時間は取れそうにないのですが、素朴な質問です。
> diff -urN namazu-1.3.0.11/src/output.c namazu-1.3.0.12/src/output.c
> --- namazu-1.3.0.11/src/output.c Wed Jan 26 22:38:51 2000
> +++ namazu-1.3.0.12/src/output.c Tue Nov 27 17:16:48 2001
> @@ -13,8 +13,15 @@
> if (!strncmp(qs, "whence=", 7)) {
> printf("whence=%d", w);
> for (qs += 7; isdigit(*qs); qs++);
> - } else
> - fputc(*(qs++), stdout);
> + } else {
> + /* '"' is converted to entities """ */
> + if (*qs == '"') {
> + fputs(""", stdout);
> + } else {
> + fputc(*qs, stdout);
> + }
> + qs++;
> + }
ここのfputc(3)って、単純にputc(3)では、まずいのでしょうか?
--
神戸 隆博(かんべ たかひろ) at 仕事場