★阿修羅♪ 現在地 HOME > 掲示板 > IT7 > 163.html
 ★阿修羅♪
次へ 前へ
検索エンジン「namazu」のCGIモジュールにクロスサイト・スクリプティングのぜい弱性【ITPro】
http://www.asyura2.com/0411/it07/msg/163.html
投稿者 バルタン星人 日時 2004 年 12 月 16 日 06:40:27:akCNZ5gcyRMTo
 

(回答先: 「企業内でGoogle Desktop Searchを使わないように」:ガートナーが警告【CNETJapan】 投稿者 バルタン星人 日時 2004 年 12 月 16 日 06:38:55)

検索エンジン「namazu」のCGIモジュールにクロスサイト・スクリプティングのぜい弱性

 Namazu Projectは12月15日,オープンソースの日本語語全文検索ソフトウエアnamazuのCGIモジュール「namazu.cgi」に,クロスサイト・スクリプティングのセキュリティ・ホールがあることを公表した。影響を受けるのはNamazu 2.0.13以前(2.0.13を含む)に含まれるnamazu.cgi。対策は,最新版2.0.14にバージョン・アップすることなど。

 クロスサイト・スクリプティングとは,攻撃者が,自分のサイトではなく第三者のWebサーバーまたはWebアプリケーションを介して,他のユーザーに悪意あるスクリプトなどを送り込める問題。複数のサイトを経由していることからクロスサイトと呼ばれる。これによりCookieを盗まれたり,サイトを偽装されフィッシングに悪用されたりする恐れがある。

 namazu.cgiではクロスサイト・スクリプティング対策として,入力データに含まれるスクリプトを無効化(サイニタイジング)する処理を行っている。しかし今回,タブ文字(%09)から始まる検索文字列を指定すると,検索文字列がサニタイズされなくなり,クロスサイト・スクリプティングが実行されてしまうことが判明した。

 最新版Namazu 2.0.14は,Namazu Projectのサイトからダウンロードできる。また同プロジェクトのサイトでは,タブ文字を無効化するスクリプトを紹介している。namazu.cgiの代わりにこのスクリプトを使うことも回避策になる。

 このセキュリティ・ホールは,HIRT(Hitachi Incident Response Team)およびIIJ-SECT(IIJGroup Security Coordination Team)により情報処理推進機構(IPA)に報告され,JPCERTコーディネーションセンター(JPCERT/CC)の協力のもとでNamazu Projectが対策を行った。

◎参考資料
◆JVN#904429FE namazuにクロスサイトスクリプティングの脆弱性(IPA)
◆タブ(%09)から始まる検索文字列による問題(Namazu Project)

 次へ  前へ

IT7掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。