古い「Namazu」の脆弱性にIPAが注意喚起 利用者に迅速なバージョンアップ実施を呼びかけ
1 :
映ψ ★:
独立行政法人情報処理推進機構(IPA)は20日、Namazuプロジェクトによるオープンソースの
全文検索システム「Namazu」の古いバージョンに存在する脆弱性について「注意喚起」を発した。
「既に脆弱性対策を施したバージョンが公表されているにも関わらず、未適用のウェブサイトがある」
という届出が増加していることから、Namazuを利用しているWebサイト運営者に対し、
迅速なバージョンアップ実施を呼びかけている。
問題となっているのは、5年前の2004年12月に公表された
「Namazuにおけるクロスサイト・スクリプティングの脆弱性」で、Namazu 2.0.14以降では修正されている。
しかし、対策されたバージョンを適用していないという届出が2008年8月ごろから増加し、
2009年7月末までに235のWebサイトが指摘されている。
そのうち民間企業が84、地方公共団体が64、教育・学術機関が38、
団体(協会・組合など)が33、政府機関が12、個人が4となっている。
Namazuプロジェクトでは、その後もセキュリティフィックスリリースを公開しており、
IPAでは「定期的に開発者の発信する情報を収集し、最新版へのバージョンアップを実施」
するよう呼びかけている。現時点でのNamazuの最新版は、
2009年3月12日にリリースされたバージョン2.0.19となっている。
http://www.codezine.jp/article/detail/4311
ディストリに付いてくるやつ使えばいいのに
通ぶってソースから入れたがる厨房が悪い
>>2 ばかだなぁ。Namazuのようなものは
ソフトいれて終わりじゃないんだよ。
システムを構築しないといけない。
Namazuを入れ替えるのでも
動作チェックも含めると一苦労。
4 :
名無しさん@お腹いっぱい。:2009/08/22(土) 14:52:11 ID:O/mXwdGs
クロスサイトスクリプティングの脆弱性だぞ、誰が被害に遭う?
>そのうち民間企業が84、地方公共団体が64、教育・学術機関が38、
>団体(協会・組合など)が33、政府機関が12、個人が4
無責任すぎる
しかも5年も放置
クロスサイトスクリプティングじゃ
実害0だよ。
>>3 チェックが必要なら迅速にチェック出来るようにしておくのがプロ
チェックがめんどいからやらないのが厨房
>>7 アホかw
金をもらわないとやらないのがプロ。
面倒な作業=金がかかる=金を払えばやりますよ。これがプロ。
手めぇの組織の脆弱性を何とかしろよwww>>>IPA
鯰は鱗がない
社会的責任を果たせない無責任野郎が大勢いて5年も脆弱性を放置している
脆弱性の危険に晒されているのはエンドユーザー
バカが個人的にバカやって個人的に被害を受けるのは自業自得だがこの件の被害者は不特定多数のエンドユーザー