日本語全文検索システム Namazu 2.0.21 リリース ― 2011年07月19日 00時55分28秒
2011年07月18日 Namazu Project 日本語全文検索システム Namazu 2.0.21 リリース Namazu Project は、オープンソースソフトウェア Namazu 2.0.21 を 2011年07月18日にリリースいたしました。 GPL2(GNU General Public License version 2)に従って、Webサイトにて 一般公開したことを発表します。 Namazu は手軽に使えることを第一に目指した日本語全文検索システムです。 CGI として動作させることにより小中規模の WWW 全文検索システムを構築す ることができるほか、コマンドラインから利用する用途にも使えます。 Namazu 2.0.20 または 2.0.20 より古いバージョンの namazu.cgi におい てInternet Explorer 6または7(IE6,IE7)のクロスサイトスクリプティング 脆弱性が発生することが発見されました。このため、この対策を行った Namazu 2.0.21 をセキュリティフィックスリリースとして公開いたします。 ■ 主な変更内容 - クロスサイトスクリプティング脆弱性の問題への対策 namazu.cgi にEUC-JPとして不正な文字列が含まれた検索文字列を指定 すると、EUC-JP でエンコードされたページを適切に処理できない Web ブラウザIE 6または7において、クロスサイトスクリプティング脆弱性が 発生します。攻撃が成功した場合には IE6,IE7を用いた閲覧者が、改竄 された Web ページを表示させられたり、クッキー情報が奪取される等の 可能性があります。 このIE 6,7 のクロスサイトスクリプティング脆弱性の対策を行いまし た。 ■ バージョンアップのすすめ Namazu 2.0.20 または 2.0.20 より古いバージョンをご利用の方は、是非 バージョンアップを実施されることをお勧めいたします。 なお、最新版の IE 8以上、Firefox等では今回のクロスサイトスクリプ ティングは起こりません。クロスサイトスクリプティング脆弱性が存在する IE 6,7 の使用をやめて、Web ブラウザのアップグレードすることもお勧め いたします。 ■ 備考 Namazu 2.0.21 は、セキュリティフィックスリリースのため、Namazu 2.0.20 に対して脆弱性の対策のみを行ったバージョンとなっています。その他のバ グ修正、機能追加、仕様変更等はこのリリースに含まれておりません。 Namazu 2.0.20 の既知の不具合に対しては、次バージョンの Namazu 2.0.22 で対応を予定しております。 ■ 配布元 Namazu Web サイト http://www.namazu.org/ で配布しています。 ■ ライセンス GPL2 ■ 本件に関するお問合せ先 Namazu Project e-mail: info @ namazu.org URL: http://www.namazu.org/
コメント
トラックバック
このエントリのトラックバックURL: http://namazu.asablo.jp/blog/2011/07/19/5962871/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※なお、送られたコメントはブログの管理者が確認するまで公開されません。