2011年07月18日 Namazu Project
日本語全文検索システム Namazu 2.0.21 リリース Namazu Project は、オープンソースソフトウェア Namazu 2.0.21 を 2011年07月18日にリリースいたしました。 GPL2(GNU General Public License version 2)に従って、Webサイトにて 一般公開したことを発表します。 Namazu は手軽に使えることを第一に目指した日本語全文検索システムです。 CGI として動作させることにより小中規模の WWW 全文検索システムを構築す ることができるほか、コマンドラインから利用する用途にも使えます。 Namazu 2.0.20 または 2.0.20 より古いバージョンの namazu.cgi におい てInternet Explorer 6または7(IE6,IE7)のクロスサイトスクリプティング 脆弱性が発生することが発見されました。このため、この対策を行った Namazu 2.0.21 をセキュリティフィックスリリースとして公開いたします。 ■ 主な変更内容 - クロスサイトスクリプティング脆弱性の問題への対策 namazu.cgi にEUC-JPとして不正な文字列が含まれた検索文字列を指定 すると、EUC-JP でエンコードされたページを適切に処理できない Web ブラウザIE 6または7において、クロスサイトスクリプティング脆弱性が 発生します。攻撃が成功した場合には IE6,IE7を用いた閲覧者が、改竄 された Web ページを表示させられたり、クッキー情報が奪取される等の 可能性があります。 このIE 6,7 のクロスサイトスクリプティング脆弱性の対策を行いまし た。 ■ バージョンアップのすすめ Namazu 2.0.20 または 2.0.20 より古いバージョンをご利用の方は、是非 バージョンアップを実施されることをお勧めいたします。 なお、最新版の IE 8以上、Firefox等では今回のクロスサイトスクリプ ティングは起こりません。クロスサイトスクリプティング脆弱性が存在する IE 6,7 の使用をやめて、Web ブラウザのアップグレードすることもお勧め いたします。 ■ 備考 Namazu 2.0.21 は、セキュリティフィックスリリースのため、Namazu 2.0.20 に対して脆弱性の対策のみを行ったバージョンとなっています。その他のバ グ修正、機能追加、仕様変更等はこのリリースに含まれておりません。 Namazu 2.0.20 の既知の不具合に対しては、次バージョンの Namazu 2.0.22 で対応を予定しております。 ■ 配布元 Namazu Web サイト http://www.namazu.org/ で配布しています。 ■ ライセンス GPL2 ■ 本件に関するお問合せ先 Namazu Project e-mail: info @ namazu.org URL: http://www.namazu.org/ -- ===================================================================== 寺西 忠勝(TADAMASA TERANISHI) yw3t-t...@asahi-net.or.jp http://www.asahi-net.or.jp/~yw3t-trns/index.htm Key fingerprint = 474E 4D93 8E97 11F6 662D 8A42 17F5 52F4 10E7 D14E _______________________________________________ Namazu-users-ja mailing list Namazu-users-ja@namazu.org http://www.namazu.org/cgi-bin/mailman/listinfo/namazu-users-ja