Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: クロスサイトスクリプティング脆弱性 (ver2.0.10)



  入れ違いになってしまいましたが...

<20020326133905.09D3.TAKAGI.HIROMITSU@xxxxxxxxxx>の記事において
takagi.hiromitsu@xxxxxxxxxxさんは書きました。

>> 一般論ですが、設定ミスが原因の場合のエラーのメッセージを徹底的に出さな
>> くしてしまうと、設定に苦慮することになる一方、親切に出すようにするとセ
>> キュリティ的に弱くなるわけでして、どうすればよいかというと、画面にメッ
>> セージを返すのではなく、エラーログのファイルに書き出すようにして、イン
>> ストールマニュアル中にそのログをよく見るように説明しておくことではない
>> かと思います。

  本来は stderr に出されるべき内容であり、まさに言われるような意図のも
のではあったのですが、namazu.cgi 自身でファイルに出力できるようにする、
という手段も用意した方が良いのかもしれませんね。

>> もう一点、オープンソースソフトウェアといえども、セキュリティ問題の報告
>> 先は、ここのような完全公開の場(即時的にWebで公表される)でない方が望
>> ましいと思います。

  今回は既に流れてしまったので、なんとか設定レベルで解決できる方法を模
索したいところです。

  ソースから build できる環境の方は、以下のパッチを nmz/util.c に当て
て、namazu.cgi を作りなおし差し替えればなんとかなると思います。副作用
としてあらゆる警告が出力されなくなりますけど。
-- 
NOKUBI Takatsugu
E-mail: knok@xxxxxxxxxxxxx
	knok@xxxxxxxxxx / knok@xxxxxxxxxx

--- util.c      Tue Feb 12 16:47:44 2002
+++ util.c.new  Tue Mar 26 14:14:02 2002
@@ -269,7 +269,7 @@
     va_list args;
 
     fflush(stdout);
-
+/*
     fprintf(stderr, "%s: ", PACKAGE);
 
     va_start(args, fmt);
@@ -279,7 +279,7 @@
     if (fmt[strlen(fmt) - 1] != '\n') {
        fprintf(stderr, "\n");
     }
-
+*/
     fflush(stderr);
 }