速報
Google Search Applianceにクロスサイトスクリプティングの危険性
Googleの企業向け検索アプライアンスに脆弱性が発見された。顧客向けには既にパッチとアドバイザリーが提供されている。
セキュリティ対策サイトであるMetasploit Projectは11月21日、Googleのイントラネット向け検索アプライアンスであるGoogle Search Applianceに、外部から悪用される危険性があると警告した。
Google Search Applianceでは検索インタフェースに使われているXSLTによるカスタマイズが可能だが、幾つかのバージョンではXSLTスタイルシートのパスに、リモートのURLを設定可能となっており、クロスサイトスクリプティング(XSS)、ファイルの発見、サービス一覧表示、任意のコマンド実行などが行われる危険性があると、Metasploitは指摘している。
なお、Googleは16日、顧客向けにパッチとアドバイザリーを提供している。
Copyright © ITmedia, Inc. All Rights Reserved.