Namazu Project は3月12日,オープンソースの全文検索CGIプログラムnamazu.cgiのWindows版に存在するセキュリティ・ホールを公表した。ディレクトリ・トラバーサルと呼ばれる攻撃に対するセキュリティ・ホールで,サーバー上の公開していないファイルにアクセスされる恐れがある。Namazu 2.0.15 以前のバージョンが影響を受ける。対策は同日リリースされた最新バージョンNamazu 2.0.16にバージョンアップすること。
ディレクトリ・トラバーサル問題とは,パラメータとしてファイルを指定する際,上位ディレクトリを指定することにより,本来公開していないファイルにアクセスできてしまう脆弱性。Windows版の,バージョン2.0.15 以前のnamazu.cgiでは,パラメータlangまたはresultに,ディレクトリ・トラバーサル問題が存在した。
Perl版のpnamazuにも同様の問題が存在する。最新版の2006.02.28版にバージョン・アップする必要がある。
UNIX系OSの場合は,通常の利用環境ではディレクトリ・トラバーサル問題は発生しないという。ただし「条件がそろえば問題を起こす」(Namazu Project)として,Namazu 2.0.16へのバージョン・アップを推奨している。またNamazu 1.X系列のユーザーにも2.0.16へのバージョンアップを推奨している。
Namazu 2.0.16は,Namazuの公式サイトからダウンロードできる。pnamazuはpnamazuの公式サイトで配布している。
◎関連資料
◆Namazu: セキュリティに関する考察 ディレクトリトラバーサル(Namazu Project)
◆pnamazu公式サイト
