JVN(Japan Vulnerability Notes)は21日、日本語全文検索システム「Namazu」にクロスサイトスクリプティングの脆弱性が存在することを公表した。脆弱性はNamazu 2.0.17およびそれ以前に影響があり、対策としてはNamazuの最新版にアップデートすることなどが挙げられている。
公表された脆弱性は、Namazuで文字コードを指定せずに検索結果などを出力する設定となっている場合に、クロスサイトスクリプティングの脆弱性が存在するというもの。Namazu 2.0.17以前では、デフォルトではレスポンスヘッダに文字コードを出力しないため、Webブラウザが文字コードを誤認する可能性があり、これにより任意のスクリプトを実行させられる危険があるという。
対策としては、Namazu 2.0.18ではレスポンスヘッダに必ず文字コードを出力するように修正したため、Namazu 2.0.18にバージョンアップすることでこの問題を回避できるという。また、Namazu 2.0.6以降には、レスポンスヘッダの文字コードを指定する機能があるため、この機能を利用することでも問題を回避できるとしている。
関連情報
■URL
Namazuにおけるクロスサイトスクリプティングの脆弱性(JVN)
http://jvn.jp/jp/JVN%2300892830/index.html
( 三柳英樹 )
2008/03/21 17:56
- ページの先頭へ-
|