Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: 2.0.8pre1 (Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性)



In message <20011127173300Y.takesako@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>
	on Tue, 27 Nov 2001 17:33:00 +0900,
	Yoshinori Takesako <takesako@xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx> wrote:
> On Tue, 27 Nov 2001 17:16:10 JST
> knok@xxxxxxxxxxxxx (NOKUBI Takatsugu) wrote:
> > <200111270800.fAR80tF02895@xxxxxxxxxxxxxxxxxxxxxxxxxxx>の記事において
> > taca@xxxxxxxxxxxxxxxxxxxxxxさんは書きました。
> > 
> > >> 1.3系は、既に保守は終わっているのだと思いますが、できれば公式なパッチ
> > >> があると幸せになるところも多いのではないでしょうか。
> > 
> >   とりあえず 1.3 用のパッチを書いてみました。チェックはしていませんの
> > で、どなたか試してみていただけると嬉しいです。
素晴らしい!

> 野首さん、ありがとうございます。早速試してみましたが、
試す時間は取れそうにないのですが、素朴な質問です。

> diff -urN namazu-1.3.0.11/src/output.c namazu-1.3.0.12/src/output.c
> --- namazu-1.3.0.11/src/output.c	Wed Jan 26 22:38:51 2000
> +++ namazu-1.3.0.12/src/output.c	Tue Nov 27 17:16:48 2001
> @@ -13,8 +13,15 @@
>  	if (!strncmp(qs, "whence=", 7)) {
>  	    printf("whence=%d", w);
>  	    for (qs += 7; isdigit(*qs); qs++);
> -	} else
> -	    fputc(*(qs++), stdout);
> +	} else {
> +	    /* '"' is converted to entities "&quot;" */
> +	    if (*qs == '"') {
> +		fputs("&quot;", stdout);
> +	    } else {
> +		fputc(*qs, stdout);
> +	    }
> +	    qs++;
> +	}
ここのfputc(3)って、単純にputc(3)では、まずいのでしょうか?

--
神戸 隆博(かんべ たかひろ)		at 仕事場