On Mon, 20 Dec 2004 21:01:57 +0900 YAMAGUCHI Kenji <yamk@yamk.net> wrote:
山口と申します。
2004/12/15 に、検索エンジン namazu に脆弱性が発見されているようですが、 SuSE 収録のパッケージでの security fix はリリースされるのでしょうか。
JVN#904429FE Namazu におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%23904429FE.html
タブ(%09) から始まる検索文字列による問題 http://www.namazu.org/security.html#cross-site-scripting
# 深刻なようなので、対応されるとうれしいのですが、ってここに質問する内容 じゃないかも。 # 取り急ぎ、自分用のパッケージは作りますが。 とりあえずの回避策は、namazu.cgiを適当な場所に移動し、 フィルターを入れて、タブ(%09)を取り除いてQUERY_STRING 渡す方法論が公開されています。 http://www.namazu.org/security.html.ja #----- #!/bin/sh QUERY_STRING=`echo "$QUERY_STRING" | sed -e 's/y=%09/y=%20/g'` export QUERY_STRING /usr/local/lib/namazu.cgi #-----
ftp://ftp.suse.com/pub/projects/m17n/ の下に公開されています。(SUSE 8.1, 8.2, 9.0, 9.1, 9.2用) #マイクさんが対応されました。 YOU用のパッケージはすぐに準備されるようです。 __________________________________ Do You Yahoo!? Upgrade Your Life http://bb.yahoo.co.jp/