Namazu 2.0.8 リリース 8
ストーリー by knok
セキュリティには気を付けよう 部門より
セキュリティには気を付けよう 部門より
Namazu Project より 2.0.8 をリリースします。
今回の変更点は cross-site scripting 脆弱性の修正のみです。
サーバ側に対しなんらかの影響があるような、いわゆる
remote exploit ではありませんが、クライアント側になんらかの
影響を与える可能性があります。特に cookie を併用しているような
場合では注意が必要です。
今回のリリースに合わせて、
Namazuのセキュリティに関する考察も更新しました。
合わせてみていただけると幸いです。
namazu-2.0.8のmknmz (スコア:1)
この記事を見て、素早く2.0.8を上書きインストールしたところ、mknmzが上手く動作しない気が。
うちの環境だけかもしれないですが‥‥。
具体的には、mknmzを実行しようとすると
と、perlのエラーが返ってきたので。
Re:namazu-2.0.8のmknmz (スコア:1)
のが先でしょう。
#でも、2.0.8のアナウンスは ML ではまだみたいだな...
Eureka !
Re:namazu-2.0.8のmknmz (スコア:1)
とりあえず、バグ追跡システム [namazu.org]の方に入れておきました [namazu.org]。
Re:namazu-2.0.8のmknmz (スコア:2)
ML [namazu.org]で 藤原さんが返答して下さっていますが、
gfilter.pl が filter/ から pl/ に移って、中身が filter 仕様ではなく
なって少し変ったためですね。
/usr/local/share/namazu/filter/gfilter.pl
(等の)名前を関係ないものに変えるか、消せば問題がなくなると思います。
ということです。そういえばこの辺りの変更もあったことを忘れていました... すいません。
とりあえず、最低限 namazu.cgi だけ入れ替えれば危険性はなくなるので、 他への影響が気になる方はその方法をとって下さい。
knok
具体的にはどういう不具合がありうるの? (スコア:0)
Re:具体的にはどういう不具合がありうるの? (スコア:2)
基本的に、cross-site scripting は能動的な攻撃にはなりえないとは思います。 なんらかの興味を引くような URL をメールなどで示すことで、 そこに誘導させるのが典型的なやりかたではないでしょうか。
そういう中で、"namazu.cgi" という(それなりに知られた) cgi を介した URL があれば、なんとなく安心して click してしまうようなケースも もしかするとありえるのではないかと思います。
knok
Re:具体的にはどういう不具合がありうるの? (スコア:2, 参考になる)
他のサイトやメールのリンクをクリックしたり
<META>でとばしただけでHTMLタグが埋め込まれたページに
誘導できます。
あとは、そのHTMLタグに細工をすれば、
(そのページでしか得ることのできない)
クッキーを他のサイトに送信したりできますよね。:-)
Re:具体的にはどういう不具合がありうるの? (スコア:0)
例えば、悪意を持った人が他所のページにある namazu.cgi から悪意を持ったコードを返すようなリンクを自分のページに作れるということですよね。
ご説明ありがとうございます。cross-site scripting ってよく理解できてなかったようです。