• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

全文検索システムNamazuのWindows版に,非公開ファイルにアクセスされるセキュリティ・ホール

高橋 信頼=ITpro 2006/03/12 ITpro

 Namazu Project は3月12日,オープンソースの全文検索CGIプログラムnamazu.cgiのWindows版に存在するセキュリティ・ホールを公表した。ディレクトリ・トラバーサルと呼ばれる攻撃に対するセキュリティ・ホールで,サーバー上の公開していないファイルにアクセスされる恐れがある。Namazu 2.0.15 以前のバージョンが影響を受ける。対策は同日リリースされた最新バージョンNamazu 2.0.16にバージョンアップすること。

 ディレクトリ・トラバーサル問題とは,パラメータとしてファイルを指定する際,上位ディレクトリを指定することにより,本来公開していないファイルにアクセスできてしまう脆弱性。Windows版の,バージョン2.0.15 以前のnamazu.cgiでは,パラメータlangまたはresultに,ディレクトリ・トラバーサル問題が存在した。

 Perl版のpnamazuにも同様の問題が存在する。最新版の2006.02.28版にバージョン・アップする必要がある。

 UNIX系OSの場合は,通常の利用環境ではディレクトリ・トラバーサル問題は発生しないという。ただし「条件がそろえば問題を起こす」(Namazu Project)として,Namazu 2.0.16へのバージョン・アップを推奨している。またNamazu 1.X系列のユーザーにも2.0.16へのバージョンアップを推奨している。

 Namazu 2.0.16は,Namazuの公式サイトからダウンロードできる。pnamazuはpnamazuの公式サイトで配布している。

◎関連資料
Namazu: セキュリティに関する考察 ディレクトリトラバーサル(Namazu Project)
pnamazu公式サイト

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る