【活用ガイド】

[English]

JVNDB-2008-000018

Namazu におけるクロスサイトスクリプティングの脆弱性

概要

日本語全文検索システム Namazu には、クロスサイトスクリプティングの脆弱性が存在します。

日本語全文検索システムである Namazu には、文字コードを指定せずに検索結果などを出力している場合、クロスサイトスクリプティングの脆弱性が存在します。

この脆弱性情報は、下記の方が発見し、情報セキュリティ早期警戒パートナーシップに基づき開発者の方が IPA に報告し、JPCERT/CC が調整を行いました。
発見者:はせがわ ようすけ 氏
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 4.3 (警告) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム


Namazu Project
  • Namazu 2.0.17 およびそれ以前
ミラクル・リナックス
  • Asianux Server 2.0 
  • Asianux Server 2.1 

想定される影響

ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策

[アップデートする]
Namazu Project が提供する最新バージョンにアップデートしてください。

[回避策を実施する]
Namazu Project が提供する情報を元に回避策を実施してください。
ベンダ情報

Namazu Project ミラクル・リナックス
  • MIRACLE LINUX アップデート情報 : 1795
CWEによる脆弱性タイプ一覧  CWEとは?

  1. クロスサイトスクリプティング(CWE-79) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2008-1468
参考情報

  1. JVN : JVN#00892830
  2. National Vulnerability Database (NVD) : CVE-2008-1468
  3. Secunia Advisory : SA29386
  4. SecurityFocus : 28380
更新履歴

  • [2008年03月21日]
      掲載
    [2009年10月27日]
      影響を受けるシステム:ミラクル・リナックス (1795) の情報を追加
      ベンダ情報:ミラクル・リナックス (1795) を追加