Namazu-users-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Namazu 2.0.10 for Win32 was released.
- From: "Yoshinori TAKESAKO" <yoshinori-takesako@xxxxxxxxx>
- Date: Mon, 31 Dec 2001 00:48:55 +0900
- X-ml-name: namazu-users-ja
- X-mail-count: 02329
竹迫です。
遅くなりましたが、Namazu 2.0.10 for Win32 を公開しました。
<http://www.namazu.org/win32/nmz2010.exe> 自己解凍型
<http://www.namazu.org/win32/nmz2010.zip> ZIP 書庫
今回もセキュリティ修正のみのリリースです。まだ残っていたクロスサイト
スクリプティングへの対応を行ないました。
それに加え、今回はソースコードの検証を行ない、バッファオーバーフロー
の可能性も可能な限り排除しています。これまでのバージョンで CGI をリモー
トから利用することによってバッファオーバーフローを発生させることはでき
ませんが、より安全な新しいバージョンへの置き換えを推奨します。
今回のリリースで修正されたクロスサイトスクリプティング脆弱性は、福光
正人氏におよび tietew 氏によって発見、報告されました。ご報告感謝いたし
ます。
■ corss-site scripting について
--------------------------------
クロスサイトスクリプティング問題については、以下の情報が参考になります。
* Namazuのセキュリティに関する考察: cross-site scripting
http://www.namazu.org/security.html#cross-site-scripting
* Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報
(情報処理進行事業協会セキュリティセンター)
http://www.ipa.go.jp/security/ciadr/20011023css.html
* CA-2000-02: Malicious HTML Tags Embedded in Client Requests (CERT)
http://www.cert.org/advisories/CA-2000-02.html
------------------------------------------------------------------------
※ インストール前の準備とインストール方法
------------------------------------------------------------------------
事前に ActivePerl をインストールしておく必要があります。
mknmz の実行には Kakasi の辞書ファイルが必要です。(日本語)
自己解凍形式のバイナリでは、ファイルを展開した後、自動的にイン
ストーラ NMZSETUP.BAT が起動されます。セットアップを中断したい
場合は、N と答えて下さい。
ZIP 書庫の場合は、OS のあるドライブにファイルを展開した後、
手動で NMZSETUP.BAT を実行してセットアップを続行して下さい。
また、同梱の Windows ActivePerl用モジュールだけをインストール
したい場合は、ppm\PPM-INSTALL.BAT を実行して下さい。
------------------------------------------------------------------------