Namazu Projectは12月15日,オープンソースの日本語語全文検索ソフトウエアnamazuのCGIモジュール「namazu.cgi」に,クロスサイト・スクリプティングのセキュリティ・ホールがあることを公表した。影響を受けるのはNamazu 2.0.13以前(2.0.13を含む)に含まれるnamazu.cgi。対策は,最新版2.0.14にバージョン・アップすることなど。
クロスサイト・スクリプティングとは,攻撃者が,自分のサイトではなく第三者のWebサーバーまたはWebアプリケーションを介して,他のユーザーに悪意あるスクリプトなどを送り込める問題。複数のサイトを経由していることからクロスサイトと呼ばれる。これによりCookieを盗まれたり,サイトを偽装されフィッシングに悪用されたりする恐れがある。
namazu.cgiではクロスサイト・スクリプティング対策として,入力データに含まれるスクリプトを無効化(サイニタイジング)する処理を行っている。しかし今回,タブ文字(%09)から始まる検索文字列を指定すると,検索文字列がサニタイズされなくなり,クロスサイト・スクリプティングが実行されてしまうことが判明した。
最新版Namazu 2.0.14は,Namazu Projectのサイトからダウンロードできる。また同プロジェクトのサイトでは,タブ文字を無効化するスクリプトを紹介している。namazu.cgiの代わりにこのスクリプトを使うことも回避策になる。
このセキュリティ・ホールは,HIRT(Hitachi Incident Response Team)およびIIJ-SECT(IIJGroup Security Coordination Team)により情報処理推進機構(IPA)に報告され,JPCERTコーディネーションセンター(JPCERT/CC)の協力のもとでNamazu Projectが対策を行った。
◎参考資料
◆JVN#904429FE namazuにクロスサイトスクリプティングの脆弱性(IPA)
◆タブ(%09)から始まる検索文字列による問題(Namazu Project)
