全文検索システム「Namazu」の新バージョンとなる「Namazu 2.0.16」が12日公開された。2.0.15以前のバージョンに発見されたディレクトリトラバーサルの脆弱性を修正しており、利用者に対してアップグレードを強く推奨している。
今回発見された脆弱性は、Namazuが言語の指定に利用している環境変数に相対パス表現を与えることで、外部からサーバー内の任意のファイルにアクセスできる可能性があるもの。特に、Windows環境でNamazuを利用している場合に、任意のファイルにアクセスできる可能性が高いため、ユーザーに対して早急なアップデートを呼びかけている。
このほか、Namazu 2.0.16では、空白を含むファイル名の文書に対応したほか、NTFSのアクセス権で読み込み許可がないものは処理をスキップするように変更している。
関連情報
■URL
全文検索システム Namazu
http://www.namazu.org/
■関連記事
・ 全文検索システム「Namazu」に脆弱性、最新版ですでに修正済(2004/12/15)
( 三柳英樹 )
2006/03/14 17:08
- ページの先頭へ-
|