日本語全文検索システム Namazu 2.0.21 リリース: ナマズのブログ

                                                       2011年07月18日
                                                       Namazu Project

　          日本語全文検索システム Namazu 2.0.21 リリース

　Namazu Project は、オープンソースソフトウェア  Namazu 2.0.21 を
2011年07月18日にリリースいたしました。
　GPL2（GNU General Public License version 2）に従って、Webサイトにて
一般公開したことを発表します。

　Namazu は手軽に使えることを第一に目指した日本語全文検索システムです。
CGI として動作させることにより小中規模の WWW 全文検索システムを構築す
ることができるほか、コマンドラインから利用する用途にも使えます。

  Namazu 2.0.20 または 2.0.20 より古いバージョンの namazu.cgi におい
てInternet Explorer 6または7(IE6,IE7）のクロスサイトスクリプティング
脆弱性が発生することが発見されました。このため、この対策を行った
Namazu 2.0.21 をセキュリティフィックスリリースとして公開いたします。

■ 主な変更内容

- クロスサイトスクリプティング脆弱性の問題への対策
    namazu.cgi にEUC-JPとして不正な文字列が含まれた検索文字列を指定
  すると、EUC-JP でエンコードされたページを適切に処理できない Web
  ブラウザIE 6または7において、クロスサイトスクリプティング脆弱性が
  発生します。攻撃が成功した場合には IE6,IE7を用いた閲覧者が、改竄
  された Web ページを表示させられたり、クッキー情報が奪取される等の
  可能性があります。
    このIE 6,7 のクロスサイトスクリプティング脆弱性の対策を行いまし
  た。

■ バージョンアップのすすめ
  Namazu 2.0.20 または 2.0.20 より古いバージョンをご利用の方は、是非
バージョンアップを実施されることをお勧めいたします。
  なお、最新版の IE 8以上、Firefox等では今回のクロスサイトスクリプ
ティングは起こりません。クロスサイトスクリプティング脆弱性が存在する
IE 6,7 の使用をやめて、Web ブラウザのアップグレードすることもお勧め
いたします。

■ 備考
  Namazu 2.0.21 は、セキュリティフィックスリリースのため、Namazu 2.0.20
に対して脆弱性の対策のみを行ったバージョンとなっています。その他のバ
グ修正、機能追加、仕様変更等はこのリリースに含まれておりません。
Namazu 2.0.20 の既知の不具合に対しては、次バージョンの Namazu 2.0.22
で対応を予定しております。

■ 配布元
　Namazu Web サイト
http://www.namazu.org/
 で配布しています。

■ ライセンス
　GPL2

■ 本件に関するお問合せ先
  Namazu Project
　e-mail:
info ＠ namazu.org

  URL:
http://www.namazu.org/