日本語検索の「Namazu」にXSSの脆弱性、早期に更新を

日本語全文検索システム「Namazu」にXSSの脆弱性が発見され、IPAは公開済みの最新版へ更新するよう呼びかけている。

» 2008年03月21日 17時03分 公開
[ITmedia]

 情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は3月21日、オープンソースの日本語全文検索システム「Namazu」にクロスサイトスクリプティングの脆弱性があるとして、公開済みの最新版へ更新するよう呼びかけた。

 対象となるのは、Namazu 2.0.17およびそれ以前のバージョン。対象バージョンでは、初期設定でレスポンスヘッダのContentTypeに文字セットを出力せず、Webブラウザ側でnamazu.cgiの出力結果から文字コードを自動認識して表示する。検索式にUTF-7でエンコードした文字列を指定した場合、Webブラウザの自動認識が正しく機能しない場合があり、第三者が任意のスクリプトを埋め込み、ユーザーが意図しないコードをWebブラウザ上で実行する恐れがある。

 Namazu Projectは、この脆弱性を解消したNamazu 2.0.18を3月12日に公開済みで、Namazu ProjectおよびIPA、JPCERT/CCでは最新版へ更新するよう呼びかけている。

 なお、Namazu Projectによれば、Namazu 2.0.6以降ではレスポンスヘッダのContentTypeを.namazurcで直接指定する機能を搭載しているため、この機能を利用して脆弱性を回避することもできるという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ