[English | Japanese]
このパッケージは、UNIXベースに開発が進められてきた全文検索システム Namazu を、 Windows95/98/Me/NT/2000/XP/2003 Server/Vista/7 でも動くようにしたものです。 Namazu は Version 2.0 から Namazu Project による共同開発と言う形になりました。
「全文検索システム Namazu for Windows」に関する不具合・疑問点等は Namazu メーリングリスト にご参加の上、メーリングリストにて質問していただけるよう お願いいたします。
●Windows版(配布バイナリのみ)の変更点: * namazu.exe のコマンドラインでインデックス指定にワイルドカードが使えなくなりました。 * namazu.exe, namazu.cgi.exe に署名を行いました。
●Namazu 2.0.13 の主な変更点: * セキュリティ面の強化 サーバーへ無理な負荷を与える複雑な正規表現検索への対策 * --check-filesize オプションを追加 * 文書フィルタを追加 * 関連ツールのバージョンアップに対応 * 文書抽出精度の向上 * バグフィックス、セキュリティホールの修正 バッファオーバーフローの可能性がある箇所を修正 ●Windows版のみの変更点: * ActivePerl5.8 に対応しました * インストーラを改善しました(インストーラをβ版扱いとしています)
●Namazu 2.0.12 の変更点: NMZ.warnlog 関連の処理でエンバグを起こし、別のクロスサイトスクリプティ ング問題が発生していたので、その修正版です。 この問題は、CGI の標準エラー出力がブラウザへの出力として扱われる Web Server でのみ発生する問題です。具体的には IIS 4.0/5.0 などが該当します。 Apache 1.3.x では問題にならないようですが、こちらでは全てのバージョン での検証はしていません。 詳細については http://www.namazu.org/security.html を参照して下さい。 この問題は花井亮氏(NECフィールディング.東日本CSD)によって発見されま した。氏よりのご報告に感謝します。
●Namazu 2.0.11 の主な変更点: * 警告メッセージを NMZ.warnlog に出力するよう変更 - 特定のクライアントにおけるクロスサイトスクリプティング脆弱性の排除 (高木浩光氏の指摘による) - IIS4.0 におけるクロスサイトスクリプティング脆弱性の排除 (花井氏の指摘による) * フィルタで利用するアプリケーション群の最新版に追従 * buffer overflow する可能性のあるコードを修正(namazu コマンド) * Win95/98 での相対パスによるアクセスの危険性排除 * HTML フィルタの改良(スクリプト言語部分を除去) * ドイツ語テンプレートの追加(Gerald Pfeifer 氏による) * WORD_LENG_MAXの制限が期待通りに動作しないバグを修正 ●Windows版のみの変更点: * File-MMagic 1.13 → 1.15 に バージョンアップ (x86パッケージ) * Search-Namazu 0.13 → 0.92 に バージョンアップ (x86パッケージ) * HACKKING.txt HACKKIT.tgz の更新
今回もセキュリティ修正のみのリリースです。まだ残っていたクロスサイトスクリプティングへの対応を行ないました。
それに加え、今回はソースコードの検証を行ない、バッファオーバーフローの可能性も可能な限り排除しています。これまでのバージョンで CGI をリモートから利用することによってバッファオーバーフローを発生させることはできませんが、より安全な新しいバージョンへの置き換えを推奨します。
今回のリリースで修正されたクロスサイトスクリプティング脆弱性は、福光正人氏におよび tietew 氏によって発見、報告されました。ご報告感謝いたします。
Namazu for Windows 2.0.18 以降のバイナリ配布アーカイブに含まれる namazu.exe, namazu.cgi.exe には Microsoft Authenticode用 デジタル署名を行っています。
署名は寺西忠勝の個人鍵(拇印: B60D 42AC 8882 2A15 871C E045 A484 ABF3 89E5 59F1)にて行っています。
署名者および認証局の証明書情報は次の通りです。
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 C:\> signtool verify /pa /v namazu.exe Verifying: namazu.exe Signing Certificate Chain: Issued to: GlobalSign Root CA Issued by: GlobalSign Root CA Expires: 2014/01/28 21:00:00 SHA1 hash: 2F173F7DE99667AFA57AF80AA2D1B12FAC830338 Issued to: GlobalSign Primary Object Publishing CA Issued by: GlobalSign Root CA Expires: 2014/01/27 20:00:00 SHA1 hash: 987FD000DCB121517D72453EE5176EB92B1363B9 Issued to: GlobalSign ObjectSign CA Issued by: GlobalSign Primary Object Publishing CA Expires: 2014/01/27 19:00:00 SHA1 hash: C4D3AF55C2623BDD2D1B145589E521519957AA48 Issued to: Tadamasa TERANISHI Issued by: GlobalSign ObjectSign CA Expires: 2010/03/18 19:25:38 SHA1 hash: B60D42AC88822A15871CE045A484ABF389E559F1 The signature is timestamped: 2008/03/20 22:52:33 Timestamp Verified by: Issued to: GlobalSign Root CA Issued by: GlobalSign Root CA Expires: 2014/01/28 21:00:00 SHA1 hash: 2F173F7DE99667AFA57AF80AA2D1B12FAC830338 Issued to: GlobalSign RootSign Partners CA Issued by: GlobalSign Root CA Expires: 2014/01/27 20:00:00 SHA1 hash: 0CEEB712AE36104D77193533FDF91F15B5119177 Issued to: GlobalSign Time Stamping Authority Issued by: GlobalSign RootSign Partners CA Expires: 2014/01/27 18:00:00 SHA1 hash: 8C4EB0708E6EC754F47B2D788089132ECBCC9B01 Successfully verified: namazu.exe Number of files successfully Verified: 1 Number of warnings: 0 Number of errors: 0 -----BEGIN PGP SIGNATURE----- Version: PGP Personal Privacy 6.5.8J iQA/AwUBR+SuXhf1UvQQ59FOEQKrdwCg9VVE2YiXDeWlvBjS7Z/TwgPYQaoAoMmq 6wodGi33P1wc/Wbm9mJcgLzn =oBuZ -----END PGP SIGNATURE-----
Namazu Homepage
本 Webサイトの計算機およびネットワーク資源はVA Linux Systems Japan様に提供していただいています。
旧 Web サイトの計算機およびネットワーク資源はネットビレッジ株式会社様に提供していただいていました。