古いNamazuを使っていませんか? IPAが注意喚起2009年08月24日 02時30分09秒

IPAは、オープンソースの検索システム「Namazu」の旧バージョンを使用しているのではないかという届出が多数寄せられているとして、ユーザーに更新を求めている。

http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html

「ウェブサイト運営者は、自組織が使用しているソフトウェアの脆弱性対策情報を定期的に収集し、未対策の場合はソフトウェアに修正プログラム(パッチ)を適用する、もしくはソフトウェアをバージョンアップする必要があります。」

その通りです。

「なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*3)」で、このようなウェブサイトの不適切な運用に関しては、注意喚起などの方法で広く対策実施を促した後に処理を取りやめることとなりました。今後、「Namazu」の古いバージョンの利用によるウェブサイトの脆弱性の届出は受理しますが、取扱いを終了し、統計情報として活用します。 」

ん? ... いいのかそれで。面倒なので投げ出したって感じですな。 サイト管理者の自己責任なので知らんとでも言いたげに聞こえるが...。 こういう報告をする善意の第三者が沢山いるというのは、宝だと思うのだが、うざがらずに耳を傾けてもらいたいものですな。

「Namazu」を利用しているウェブサイト運営者は、脆弱性対策を施した最新版へのバージョンアップを実施してください。現時点で既知の脆弱性については2008年3月12日に公開されたNamazu 2.0.18以降において対策が施されているため、これ以前のものを使用している場合は、Namazu 2.0.18以降へのバージョンアップが必要です。」

これ以前って...これより古いバージョンを使用している場合でしょう。

「脆弱性対策情報データベースJVN iPediaの活用」

どうも IPA データベースやツールの宣伝に Namazu を槍玉にあげられたような気もしますが、まぁ良いでしょう。

Namazu メーリングリストを読んでいる人なら、事あるごとに最新バージョンを使えと私が言っているのを知っているでしょうから、IPAが注意喚起することには賛成です。それでバージョンアップを実施するきっかけになれば、何でもいいですから。

私が口がすっぱくなるほど言って聞かない人も、IPAが注意喚起すれば聞く人もいるでしょう。何でもいいです最新バージョンにバージョンアップする人が増えれば。

ところで、Namazuの旧バージョンを使用しているのではないかという届出が多数寄せられている原因としては、Namazu 自体が沢山使われているからという理由と、本当に古いバージョンを使い続けていてバージョンアップを怠っているからという理由の他に、検索結果の Web ページに表示される Namazu のバージョンが古い場合があるということがあります。

実際に使われている namazu.cgi のバージョンは利用者には分からないはずですので、本当に古いかどうかは分かりません。

検索結果の Web ページに表示される Namazu のバージョンは、テンプレートを使っていない場合は、インデックスを作成した時の mknmz のバージョンが表示されます。インデックスを更新しなければ検索結果の Web ページに表示される Namazu のバージョンも更新されませんが、Namazu のバージョンアップを行った後にインデックスを更新する必要はありませんので、検索結果の Web ページに表示される Namazu のバージョンが古いからといって古いバージョンの Namazu が使われているとは限りませんので namazu.cgi に脆弱性があるとは限りません。

また、テンプレートを使って検索結果を表示する場合は、mknmz のバージョンに関わらずテンプレートの内容が表示されます。最新バージョンの Namazu が使われていてもテンプレートを書き換えるのを忘れていると、検索結果に古いバージョンが表示されます。この場合は表示だけ古いのですから問題はありません。 私もついテンプレートの書き換えを忘れることがあります。そもそも mknmz でk検索結果に表示されるバージョンを書き換えるという動作が問題なわけで、namazu や namazu.cgi でバージョンを書き換えて表示するべきものなんですよね。

さて、こう書くと検索結果の Web ページに Namazu のバージョンが表示されるから古いバージョンだと思われるとか、古いバージョンを使っているのがバレるとか考えて、セキュリティ的にテンプレートのバージョン表示を削除するのが良いとか、テンプレートのバージョンだけ書き換えるとか考える人が出てきます。 が、全く無意味です。そんな小手先の対処しても使っているプログラムに脆弱性があればアウトなんですから。重要なことは脆弱性の問題に対処した最新バージョンのプログラムを使うことで、これ以外に選択肢はありません。 攻撃者にとって検索結果の Web ページに表示される Namazu のバージョンなんかとるに足らない情報に過ぎません。

ということで、みなさん最新バージョンにバージョンアップしましょう。 (とは言うものの Namazu for Windows のバイナリは 2.0.19 をまだ公開できていません。申し訳ないです。)