IPAは、オープンソースの検索システム「Namazu」の旧バージョンを使用しているのではないかという届出が多数寄せられているとして、ユーザーに更新を求めている。 http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html 「ウェブサイト運営者は、自組織が使用しているソフトウェアの脆弱性対策情報を定期的に収集し、未対策の場合はソフトウェアに修正プログラム(パッチ)を適用する、もしくはソフトウェアをバージョンアップする必要があります。」 その通りです。 「なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*3)」で、このようなウェブサイトの不適切な運用に関しては、注意喚起などの方法で広く対策実施を促した後に処理を取りやめることとなりました
-ウェブサイト運営者は脆弱性対策情報を収集し、バージョンアップを!- 最終更新日 2009年8月20日 掲載日 2009年8月20日 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、オープンソースの全文検索システム「Namazu」(開発者:Namazu Project)の脆弱性について、「既に脆弱性対策を施したバージョンが公表されているにも関わらず、未適用のウェブサイトがある」旨の届出が増加していることから、本ソフトウェアを利用しているウェブサイト運営者に対し、迅速なバージョンアップ実施を呼びかけるため、「注意喚起」を発することとしました。 2008年8月頃から、Namazuを使用している複数のウェブサイトに対して、「開発者から脆弱性対策を実施したバージョンが既に公表されているのにも拘らず、ウェブサイト運営者がそのバージョンを適用していないのではないか?」という旨の届出が増加
-ウェブサイト運営者は脆弱性対策情報を収集し、 修正プログラム(パッチ)の迅速な適用を!- 最終更新日 2009年3月17日 掲載日 2009年3月17日 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、「ソフトウェア製品に脆弱性が発見され、その開発者から修正プログラム(パッチ)が公表されているが、実際に運用しているウェブサイトがパッチを適用していないのではないか?」という旨の届出が増加している状況をふまえ、ウェブサイト運営者に対し脆弱性対策情報の収集とパッチの迅速な適用を呼びかけます。 ソフトウェアの脆弱性を狙った攻撃に対処するためには、攻撃が行われる前に、ソフトウェアに修正プログラム(パッチ)を適用する必要があります。近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっており、ウェブサイト運営者は迅速な対応が求められます。 2008年第3四半期頃か
日本語全文検索システムである Namazu には、文字コードを指定せずに検索結果などを出力している場合、クロスサイトスクリプティングの脆弱性が存在します。
[Namazu-users-ja 1051] [技術資料] Namazu 2.0.18 に新設された Charset ディレクティブ関連の話 Tadamasa Teranishi yw3t-trns @ asahi-net.or.jp 2008年 3月 12日 (水) 21:45:27 JST 前の記事 [Namazu-users-ja 1050] 日本語全文検索システム Namazu 2.0.18 リリース 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ] 寺西です。 Namazu 2.0.17 以前の namazu.cgi はデフォルトではレスポンスヘッダの ContentType に charset を出力しません。 この時、Web ブラウザの charset 自動認識の誤認により脆弱性の問題が 起こることがあります。 http://www.namazu.o
基本方針 最新版はおそらく安全だとは思いますが、確実とは言えません。 Namazu は完全に無保証です。すべてあなたの責任のもとに運用し てください。ただし、セキュリティの問題にはできる限り対応する つもりです。まずい点を見つけたら連絡してください。 既知の問題 2.0.20 または 2.0.20 より古いヴァージョンには、 IE6,7の脆弱性対策ができていません。 このため Namazu 2.0.21 以降を利用することを推奨します。 2.0.19 または 2.0.19 より古いヴァージョンには、 バッファオーバーランの脆弱性があります。 2.0.17 または 2.0.17 より古いヴァージョンには、 Web ブラウザのエンコード自動認識の誤認による UTF-7 エンコーディングされた検索式の脆弱性があります。 2.0.15 または 2.0.15 より古いヴァージョンには、ディレクトリト
Namazu 2.0.17 以前の namazu.cgi はデフォルトではレスポンスヘッダの ContentType に charset を出力しません。 この時、Web ブラウザの charset 自動認識の誤認により脆弱性の問題が 起こることがあります。 http://www.namazu.org/security.html しかし、Namazu 2.0.6 以降には namazu.cgi で出力するレスポンスヘッダの ContentType を .namazurc で直接指定する機能を有しています。 ContentType "text/html; charset=EUC_JP" など明示的に指定することでレスポンスヘッダの ContentType に charset を 出力することができ、この脆弱性の問題を回避することができます。 ただし、この場合は charset の値が固定され
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
