検索エンジン「Namazu」にクロスサイトスクリプティングの脆弱性、最新版で修正

Namazu Projectは12月15日、クロスサイトスクリプティングの脆弱性を修正した日本語全文検索システム「Namazu 2.0.14」をリリースした。

[ITmedia]

　Namazu Projectは12月15日、オープンソースの日本語全文検索システム「Namazu」の最新バージョンとなる「Namazu 2.0.14」をリリースした。NamazuプロジェクトのWebサイトより入手できる。

　今回のリリースは、Namazu 2.0.13以前に存在するクロスサイトスクリプティングの脆弱性を修正する、セキュリティフィックスだ。

　この脆弱性は、namazu.cgiにタブ（%09）から始まる文字列を渡した場合にサニタイジングが適切に行われず、悪意あるスクリプトなどを実行されてしまうという問題だ。悪用されれば、Cookie情報の詐取やWebページの改ざんが行われ、ユーザーのなりすましやフィッシング詐欺につながる可能性がある。

　同プロジェクトではこれを踏まえ、早期のバージョンアップを推奨している。また、何らかの理由でアップグレードが困難なケースに向けた回避策も紹介されている。

　なおこの脆弱性については、情報処理推進機構（IPA）やJPCERTコーディネーションセンター（JPCERT/CC）が進めている脆弱性情報届出制度の下でHIRT（Hitachi Incident Response Team）とIIJ-SECT（IIJGroup Security Coordination Team）が届出を行い、調整、対策が行われた。