アサブロ検索

<< 2012/11 >>
01 02 03
04 05 06 07 08 09 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30

このブログについて

日本語全文検索システム Namazu の開発日記です。
 その他、鯰に関するもの何でも。

カテゴリ一覧

★★★★★

バックナンバー

リンク

天気予報


-天気予報コム- -FC2-

RSS

ActivePerl 5.16.X (x64版) 用 Namazu for Windows 2.0.21 暫定版2012年11月04日 19時33分37秒

現在入手が難しくなっている ActivePerl 5.8.X (Build 800 番台)の 代わりに ActivePerl 5.16.X (Build 1600 番台) で Namazu for Windows を簡単に使えるように ActivePerl 5.16.X 用の PPM を準備しました。 まだ、ブルー会員限定ですが、下記からダウンロードして手順に したがってインストールしてください。 本パッケージには、namazu.exe, namazu.cgi.exe は含まれておりません。これらは nmz2.0.21.001-win32.zip のものをご使用下さい。

Web サーバから PPM ファイルをインストールする必要がありますので、 インストール時にインターネットに接続する必要があります。

また、インストール時にブルー会員エリアにアクセスするため、ブルー会員のIDとパスワードが必要になります。

動作環境

  • Windows XP 以降の x64 版
  • ActivePerl 5.16.X (Build 1600番台) x64版

詳しくはアーカイブに含まれる README-ja.txt ならびに http://namazu.asablo.jp/blog/ をご覧ください。

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]

x64 版 namazu.exe, namazu-cgi.exe で不具合?2011年11月28日 00時50分34秒

x86 版の代わりに x64 版 namazu.exe, namazu-cgi.exe に変えて pltests を実行したところ、namazu.exe, namazu-cgi.exe で異常終了するケースが見つかった。

そういえば、野首さんがソースを修正していたので、最新版をビルドすると解決するのかもしれない。

今度時間が取れたらデバッグしてみます。

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]

Namazu for Windows 2.0.21 ( アーカイブ001 ) 公開2011年07月19日 03時33分39秒

Namazu for Windows 2.0.21 (アーカイブ001) を公開しました。

Namazu 2.0.21 を Windows で使用するために、コンパイル済みのバイナリを 作成しました。

Web サーバから PPM ファイルをインストールする必要がありますので、 インストール時にインターネットに接続する必要があります。

動作環境

  • ActivePerl 800番台 (500, 600, 1000, 1200, 1400 番台用の Perl モジュールは用意して おりません。ご自分で Perl モジュールをご用意ください。)

予告

今回のリリースで以下のバイナリ配布を終了します。

  • VC++6.0 版バイナリ配布
  • Itanium 版バイナリ配布

また、次回のリリースからは以下の内容も検討しています。

  • ビルド環境を VisualStudio 2005 から VisualStudio 2008 に変更
  • 対応する ActivePerl を 800 番台から 1400 番台に変更 (Perl 5.8 から Perl 5.14 に変更)

詳しくはアーカイブに含まれる README-ja.txt ならびに http://namazu.asablo.jp/blog/ http://maglog.jp/namazu/ をご覧ください。

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]

日本語全文検索システム Namazu 2.0.21 リリース2011年07月19日 00時55分28秒


                                                       2011年07月18日
                                                       Namazu Project

           日本語全文検索システム Namazu 2.0.21 リリース

 Namazu Project は、オープンソースソフトウェア  Namazu 2.0.21 を
2011年07月18日にリリースいたしました。
 GPL2(GNU General Public License version 2)に従って、Webサイトにて
一般公開したことを発表します。

 Namazu は手軽に使えることを第一に目指した日本語全文検索システムです。
CGI として動作させることにより小中規模の WWW 全文検索システムを構築す
ることができるほか、コマンドラインから利用する用途にも使えます。

  Namazu 2.0.20 または 2.0.20 より古いバージョンの namazu.cgi におい
てInternet Explorer 6または7(IE6,IE7)のクロスサイトスクリプティング
脆弱性が発生することが発見されました。このため、この対策を行った
Namazu 2.0.21 をセキュリティフィックスリリースとして公開いたします。

■ 主な変更内容

- クロスサイトスクリプティング脆弱性の問題への対策
    namazu.cgi にEUC-JPとして不正な文字列が含まれた検索文字列を指定
  すると、EUC-JP でエンコードされたページを適切に処理できない Web
  ブラウザIE 6または7において、クロスサイトスクリプティング脆弱性が
  発生します。攻撃が成功した場合には IE6,IE7を用いた閲覧者が、改竄
  された Web ページを表示させられたり、クッキー情報が奪取される等の
  可能性があります。
    このIE 6,7 のクロスサイトスクリプティング脆弱性の対策を行いまし
  た。

■ バージョンアップのすすめ
  Namazu 2.0.20 または 2.0.20 より古いバージョンをご利用の方は、是非
バージョンアップを実施されることをお勧めいたします。
  なお、最新版の IE 8以上、Firefox等では今回のクロスサイトスクリプ
ティングは起こりません。クロスサイトスクリプティング脆弱性が存在する
IE 6,7 の使用をやめて、Web ブラウザのアップグレードすることもお勧め
いたします。

■ 備考
  Namazu 2.0.21 は、セキュリティフィックスリリースのため、Namazu 2.0.20
に対して脆弱性の対策のみを行ったバージョンとなっています。その他のバ
グ修正、機能追加、仕様変更等はこのリリースに含まれておりません。
Namazu 2.0.20 の既知の不具合に対しては、次バージョンの Namazu 2.0.22
で対応を予定しております。

■ 配布元
 Namazu Web サイト
http://www.namazu.org/
 で配布しています。

■ ライセンス
 GPL2

■ 本件に関するお問合せ先
  Namazu Project
 e-mail:
info @ namazu.org

  URL:
http://www.namazu.org/

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]

KAKASI UTF-8 対応版のパッチ2010年12月17日 23時08分27秒

すっかり忘れてしまっている KAKASI UTF-8 対応版ですが、そのままでは make できないという Makefile の不具合が長期間放置されていました。

メーリングリストに流れていたのだろうけれども、KAKASI UTF-8 対応版をビルドしたことがないので、そんなバグもあったっけ? って感じではありますが...。

で、その修正パッチが反映されました。

by opengl2772 [バグ関係] [KAKASI] [コメント(0)トラックバック(0)]

フィールド検索時に日付ソートができないバグ対応2010年12月04日 10時39分13秒

フィールド検索時に日付ソートができないというバグ報告があり、パッチを送ってもらいました。

これを反映しました。

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]

olertf.pl 復活2010年07月19日 14時46分45秒

Office 2007 で filter/win32/olertf.pl がうまく動かなかったので、olertf.pl を無効にしましたが、テスト環境の Word 2007 の問題であることが確認できました。

olertf.pl は無実だったので、Office 2007, 2010 でも有効にしました。

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]

pltests/env.pl.in バグフィックス2009年09月06日 01時41分46秒

pltests/env.pl.in で環境変数 TEMP, TMP の値をチェックする部分に不具合があったのを修正しました。 (stable-2-0, development, HEAD)

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]

NMZ.field.* に空白行があるとバッファオーバーラン2009年09月06日 01時40分33秒

NMZ.field.* に空白行があると検索時にバッファオーバーランを起こすことがあるバグを修正しました。(stable-2-0, development-2-1, HEAD)

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]

古いNamazuを使っていませんか? IPAが注意喚起2009年08月24日 02時30分09秒

IPAは、オープンソースの検索システム「Namazu」の旧バージョンを使用しているのではないかという届出が多数寄せられているとして、ユーザーに更新を求めている。

http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html

「ウェブサイト運営者は、自組織が使用しているソフトウェアの脆弱性対策情報を定期的に収集し、未対策の場合はソフトウェアに修正プログラム(パッチ)を適用する、もしくはソフトウェアをバージョンアップする必要があります。」

その通りです。

「なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*3)」で、このようなウェブサイトの不適切な運用に関しては、注意喚起などの方法で広く対策実施を促した後に処理を取りやめることとなりました。今後、「Namazu」の古いバージョンの利用によるウェブサイトの脆弱性の届出は受理しますが、取扱いを終了し、統計情報として活用します。 」

ん? ... いいのかそれで。面倒なので投げ出したって感じですな。 サイト管理者の自己責任なので知らんとでも言いたげに聞こえるが...。 こういう報告をする善意の第三者が沢山いるというのは、宝だと思うのだが、うざがらずに耳を傾けてもらいたいものですな。

「Namazu」を利用しているウェブサイト運営者は、脆弱性対策を施した最新版へのバージョンアップを実施してください。現時点で既知の脆弱性については2008年3月12日に公開されたNamazu 2.0.18以降において対策が施されているため、これ以前のものを使用している場合は、Namazu 2.0.18以降へのバージョンアップが必要です。」

これ以前って...これより古いバージョンを使用している場合でしょう。

「脆弱性対策情報データベースJVN iPediaの活用」

どうも IPA データベースやツールの宣伝に Namazu を槍玉にあげられたような気もしますが、まぁ良いでしょう。

Namazu メーリングリストを読んでいる人なら、事あるごとに最新バージョンを使えと私が言っているのを知っているでしょうから、IPAが注意喚起することには賛成です。それでバージョンアップを実施するきっかけになれば、何でもいいですから。

私が口がすっぱくなるほど言って聞かない人も、IPAが注意喚起すれば聞く人もいるでしょう。何でもいいです最新バージョンにバージョンアップする人が増えれば。

ところで、Namazuの旧バージョンを使用しているのではないかという届出が多数寄せられている原因としては、Namazu 自体が沢山使われているからという理由と、本当に古いバージョンを使い続けていてバージョンアップを怠っているからという理由の他に、検索結果の Web ページに表示される Namazu のバージョンが古い場合があるということがあります。

実際に使われている namazu.cgi のバージョンは利用者には分からないはずですので、本当に古いかどうかは分かりません。

検索結果の Web ページに表示される Namazu のバージョンは、テンプレートを使っていない場合は、インデックスを作成した時の mknmz のバージョンが表示されます。インデックスを更新しなければ検索結果の Web ページに表示される Namazu のバージョンも更新されませんが、Namazu のバージョンアップを行った後にインデックスを更新する必要はありませんので、検索結果の Web ページに表示される Namazu のバージョンが古いからといって古いバージョンの Namazu が使われているとは限りませんので namazu.cgi に脆弱性があるとは限りません。

また、テンプレートを使って検索結果を表示する場合は、mknmz のバージョンに関わらずテンプレートの内容が表示されます。最新バージョンの Namazu が使われていてもテンプレートを書き換えるのを忘れていると、検索結果に古いバージョンが表示されます。この場合は表示だけ古いのですから問題はありません。 私もついテンプレートの書き換えを忘れることがあります。そもそも mknmz でk検索結果に表示されるバージョンを書き換えるという動作が問題なわけで、namazu や namazu.cgi でバージョンを書き換えて表示するべきものなんですよね。

さて、こう書くと検索結果の Web ページに Namazu のバージョンが表示されるから古いバージョンだと思われるとか、古いバージョンを使っているのがバレるとか考えて、セキュリティ的にテンプレートのバージョン表示を削除するのが良いとか、テンプレートのバージョンだけ書き換えるとか考える人が出てきます。 が、全く無意味です。そんな小手先の対処しても使っているプログラムに脆弱性があればアウトなんですから。重要なことは脆弱性の問題に対処した最新バージョンのプログラムを使うことで、これ以外に選択肢はありません。 攻撃者にとって検索結果の Web ページに表示される Namazu のバージョンなんかとるに足らない情報に過ぎません。

ということで、みなさん最新バージョンにバージョンアップしましょう。 (とは言うものの Namazu for Windows のバイナリは 2.0.19 をまだ公開できていません。申し訳ないです。)

by opengl2772 [開発] [バグ関係] [コメント(0)トラックバック(0)]