日本語全文検索システム「Namazu」、脆弱性修正でバージョンアップ

Namazu Projectは3月12日、ディレクトリトラバーサルの脆弱性を修正した日本語全文検索システム「Namazu」の新バージョン、「Namazu 2.0.16」をリリースした。

[ITmedia]

　Namazu Projectは3月12日、オープンソースの日本語全文検索システム「Namazu」の新バージョン、「Namazu 2.0.16」をリリースした。ディレクトリトラバーサルの脆弱性を修正したセキュリティフィックスで、同プロジェクトでは早期のバージョンアップを推奨している。

　Namazuは、手軽に利用できることを第一に設計された日本語全文検索システムだ。同プロジェクトによると、2.0.15以前のすべてのバージョンに、管理者が想定したのとは別のディレクトリを参照され、Webサーバ内のファイルの内容を盗み取られる恐れのあるディレクトリトラバーサルの脆弱性が存在する。

　特にWindows版の場合、相対パスに存在しないディレクトリを含んでいてもファイルにアクセスできる恐れがあるため、注意が必要だ。UNIX版の場合は、通常利用環境では問題が起こらないが、条件がそろえば脆弱性を悪用される可能性がある。Namazu Projectではこうした状況を踏まえ、1.x系列を利用しているユーザーも含め、あらゆるユーザーにバージョンアップを勧めている。

　なお、Namazuのperl版検索プログラム「pnamazu」にも、同じくディレクトリトラバーサルの脆弱性が存在する。開発元では、脆弱性を修正した「2006.02.28」版を公開しており、同様にアップデートが推奨される。