Namazu-users-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: namazu コマンドを CGI から実行したときの問題点とは?
Kenji です。
nyantyuu@xxxxxxxxxxxxxxxxxxさんが 1/25/01 1:58 AM に書きました:
>はじめまして,中井と申します。
>
>namazu.cgiではなく,namazuコマンド自体をCGIから使用したいと思い,このメーリ
>ングリスト等を調べて,
>
>1.セキュリティ上の理由から,コマンドラインから実行する namazu とCGI から実行
>する namazu.cgi が分離されていること(CGIからnamazuコマンドを実行できないよう
>にしてある),
>
>2.それでも,利用する方法
> 2-1 ./src/namazu-cmd.c を一部改変(して利用されている方がいらっしゃる),
> 2-2 Search::Namazu Perl moduleを利用する(namazuコマンドを利用している訳で
>はないでしょうが),
>
>があることが分かりました。
>
>試してみたところ,2.の両方とも動作確認をして,利用できそうな感触はつかめまし
>たが,namazu.cgiを利用するように推奨されているということは,2.のような方法で
>利用する際には,セキュリティ上何か重大な問題を抱えることになるからでしょうか?
>また,その内容はどのようなものなのでしょうか?
2-1 は、
http://www.namazu.org/ml/namazu-ring/msg01317.html
のセキュリティ・ホールになる可能性があります。このセキュリティ・
ホールを利用すれば、リモートから httpd の実効権限で書き込める
ファイルに書き込み(破壊)できます。
2-2 については、現在、セキュリティ上の問題は見つかっていません。
Search-Namazu-0.12 以前にはバグがありますが、セキュリティ上の
ものではありません。
// Kenji Suzuki
Linux -- Where you really can go tomorrow