Namazu 2.0.8 リリース

Namazu 2.0.8 リリース 8

ストーリー by knok 2001年11月27日 19時19分
セキュリティには気を付けよう部門より

Namazu Project より 2.0.8 をリリースします。
今回の変更点は cross-site scripting 脆弱性の修正のみです。サーバ側に対しなんらかの影響があるような、いわゆる remote exploit ではありませんが、クライアント側になんらかの影響を与える可能性があります。特に cookie を併用しているような場合では注意が必要です。
今回のリリースに合わせて、 Namazuのセキュリティに関する考察も更新しました。合わせてみていただけると幸いです。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索8コメント Log In/Create an Account

namazu-2.0.8のmknmz (スコア:1)

by nekoie (471) on 2001年11月27日 22時43分 (#41806) ホームページ日記

この記事を見て、素早く2.0.8を上書きインストールしたところ、mknmzが上手く動作しない気が。
うちの環境だけかもしれないですが‥‥。

具体的には、mknmzを実行しようとすると

Undefined subroutine &gfilter::mediatype called at (eval 36) line 1.

と、perlのエラーが返ってきたので。

# ちなみに当方の環境はslackware 7.0（古‥‥）にperl5.6.1、kakasi-2.3.4、Text-Kakasi-1.05、nkf171、File-MMagic-1.12。

# と言うか、namazu.orgの方に伝えるべきか。
- Re:namazu-2.0.8のmknmz (スコア:1)
  
  by memex (4261) on 2001年11月27日 23時57分 (#41821) ホームページ
  
  まずは Namazu のML（namazu-users-ja@namazu.org）に投稿する
  のが先でしょう。
  
  #でも、2.0.8のアナウンスは ML ではまだみたいだな...
  
  --
  Eureka !
  
  シェア
  
  親コメント
  - Re:namazu-2.0.8のmknmz (スコア:1)
    
    by nekoie (471) on 2001年11月28日 0時41分 (#41836) ホームページ日記
    
    とりあえず、バグ追跡システム [namazu.org]の方に入れておきました [namazu.org]。
    
    シェア
    
    親コメント
    - Re:namazu-2.0.8のmknmz (スコア:2)
      
      by knok (35) on 2001年11月28日 10時01分 (#41923) ホームページ
      
      ML [namazu.org]で藤原さんが返答して下さっていますが、
      gfilter.pl が filter/ から pl/ に移って、中身が filter 仕様ではなく
      なって少し変ったためですね。
      
      /usr/local/share/namazu/filter/gfilter.pl
      (等の)名前を関係ないものに変えるか、消せば問題がなくなると思います。
      
      ということです。そういえばこの辺りの変更もあったことを忘れていました... すいません。
      とりあえず、最低限 namazu.cgi だけ入れ替えれば危険性はなくなるので、他への影響が気になる方はその方法をとって下さい。
      
      --
      knok
      
      シェア
      
      親コメント
具体的にはどういう不具合がありうるの？ (スコア:0)

by Anonymous Coward on 2001年11月27日 19時51分 (#41757)

Namazu を使う場合って、生成された HTML は入力した人が見るだけだから cross-site scripting で第三者に悪影響が出るようなことはないように思えるんですが、具体的にどのようなことが起こりうるんでしょうか。
- Re:具体的にはどういう不具合がありうるの？ (スコア:2)
  
  by knok (35) on 2001年11月27日 20時18分 (#41760) ホームページ
  
  基本的に、cross-site scripting は能動的な攻撃にはなりえないとは思います。なんらかの興味を引くような URL をメールなどで示すことで、そこに誘導させるのが典型的なやりかたではないでしょうか。
  そういう中で、"namazu.cgi" という(それなりに知られた) cgi を介した URL があれば、なんとなく安心して click してしまうようなケースももしかするとありえるのではないかと思います。
  
  --
  knok
  
  シェア
  
  親コメント
- Re:具体的にはどういう不具合がありうるの？ (スコア:2, 参考になる)
  
  by qbin (4949) on 2001年11月27日 20時19分 (#41761)
  
  検索文字列等はGETメソッドで渡されるから、
  他のサイトやメールのリンクをクリックしたり
  <META>でとばしただけでHTMLタグが埋め込まれたページに
  誘導できます。
  あとは、そのHTMLタグに細工をすれば、
  (そのページでしか得ることのできない)
  クッキーを他のサイトに送信したりできますよね。:-)
  
  シェア
  
  親コメント
  - Re:具体的にはどういう不具合がありうるの？ (スコア:0)
    
    by Anonymous Coward
    
    なるほど解りました。
    例えば、悪意を持った人が他所のページにある namazu.cgi から悪意を持ったコードを返すようなリンクを自分のページに作れるということですよね。
    ご説明ありがとうございます。cross-site scripting ってよく理解できてなかったようです。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Namazu 2.0.8 リリース 8

Namazu 2.0.8 リリース More ログイン

namazu-2.0.8のmknmz (スコア:1)

Re:namazu-2.0.8のmknmz (スコア:1)

Re:namazu-2.0.8のmknmz (スコア:1)

Re:namazu-2.0.8のmknmz (スコア:2)

具体的にはどういう不具合がありうるの？ (スコア:0)

Re:具体的にはどういう不具合がありうるの？ (スコア:2)

Re:具体的にはどういう不具合がありうるの？ (スコア:2, 参考になる)

Re:具体的にはどういう不具合がありうるの？ (スコア:0)

スラド