検索エンジン「namazu」のCGIモジュールにクロスサイト・スクリプティングのぜい弱性

　Namazu Projectは12月15日，オープンソースの日本語語全文検索ソフトウエアnamazuのCGIモジュール「namazu.cgi」に，クロスサイト・スクリプティングのセキュリティ・ホールがあることを公表した。影響を受けるのはNamazu 2.0.13以前（2.0.13を含む）に含まれるnamazu.cgi。対策は，最新版2.0.14にバージョン・アップすることなど。

　クロスサイト・スクリプティングとは，攻撃者が，自分のサイトではなく第三者のWebサーバーまたはWebアプリケーションを介して，他のユーザーに悪意あるスクリプトなどを送り込める問題。複数のサイトを経由していることからクロスサイトと呼ばれる。これによりCookieを盗まれたり，サイトを偽装されフィッシングに悪用されたりする恐れがある。

　namazu.cgiではクロスサイト・スクリプティング対策として，入力データに含まれるスクリプトを無効化（サイニタイジング）する処理を行っている。しかし今回，タブ文字（%09）から始まる検索文字列を指定すると，検索文字列がサニタイズされなくなり，クロスサイト・スクリプティングが実行されてしまうことが判明した。

　最新版Namazu 2.0.14は，Namazu Projectのサイトからダウンロードできる。また同プロジェクトのサイトでは，タブ文字を無効化するスクリプトを紹介している。namazu.cgiの代わりにこのスクリプトを使うことも回避策になる。

　このセキュリティ・ホールは，HIRT(Hitachi Incident Response Team)およびIIJ-SECT(IIJGroup Security Coordination Team)により情報処理推進機構(IPA)に報告され，JPCERTコーディネーションセンター（JPCERT/CC）の協力のもとでNamazu Projectが対策を行った。

◎参考資料
◆JVN#904429FE namazuにクロスサイトスクリプティングの脆弱性(IPA)
◆タブ(%09)から始まる検索文字列による問題（Namazu Project）

　次へ 　前へ

ＩＴ7掲示板へ

フォローアップ:

　

　

　

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。