Google Search Applianceにクロスサイトスクリプティングの危険性

Googleの企業向け検索アプライアンスに脆弱性が発見された。顧客向けには既にパッチとアドバイザリーが提供されている。

[ITmedia]

　セキュリティ対策サイトであるMetasploit Projectは11月21日、Googleのイントラネット向け検索アプライアンスであるGoogle Search Applianceに、外部から悪用される危険性があると警告した。

　Google Search Applianceでは検索インタフェースに使われているXSLTによるカスタマイズが可能だが、幾つかのバージョンではXSLTスタイルシートのパスに、リモートのURLを設定可能となっており、クロスサイトスクリプティング（XSS）、ファイルの発見、サービス一覧表示、任意のコマンド実行などが行われる危険性があると、Metasploitは指摘している。

　なお、Googleは16日、顧客向けにパッチとアドバイザリーを提供している。