1. HOME
  2. Information
  3. Security Alert
  4. Namazu にクロスサイトスクリプティングの問題

コンテンツ

Security Alert

Namazu にクロスサイトスクリプティングの問題

publication date : Jul.25, 2011


■概要
Namazu(*1) は,namazu.cgi の処理が原因でセキュリティホールが存在します.

攻撃者にこのセキュリティホールを利用された場合,リモートからクロスサイトスクリプティングによる攻撃を受ける可能性があります.

これは Namazu において,namazu.cgi に EUC-JP として不正な文字列が含まれた検索文字列を指定された場合に適切な処理を行っていないため,EUC-JP でエンコードされたページを適切に処理できない Internet Explorer 6 または 7 において,クロスサイトスクリプティングが発生することが原因となります.

本セキュリティホールにより,Internet Explorer 6 または 7 を用いたユーザが,改竄された Web ページを表示させられたり,クッキー情報が奪取される被害を受ける可能性があります.

注:(*1) Namazu は CGI として動作させることも可能な日本語全文検索システムです

■対象
- Namazu 2.0.21 未満

■確認方法/検証
インストールされているバージョンを確認してください.
Namazu のバージョン確認方法 (環境によりファイル名が異なる場合があります)
# [インストールパス]/namazu -v

■対策
ベンダーが推奨する対処方法を適用してください.また,トロイの木馬などの不正プログラムをインストールしないようにダウンロードの際には MD5 をチェックしてください.

■関連文書
Namazu org.
修正プログラム Namazu 2.0.21 以上
[Namazu-users-ja 1230] 日本語全文検索システム Namazu 2.0.21 リリース

Inquiry 京都大学 情報部 情報基盤課 情報セキュリティ対策室
TEL:075-753-7490/7492(7490/7491/7492)
E-mail:i-s-officeiimc.kyoto-u.ac.jp

Back to Security Alert

 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.