日本語全文検索システム Namazu 2.0.16 リリース: ナマズのブログ

　日本語全文検索システム Namazu 2.0.16 リリース

　Namazu Project は、オープンソースソフトウェア Namazu 2.0.16 を 2006年03月12日にリリースいたしました。　GPL2（GNU General Public License version 2）に従って、Webサイトにて一般公開したことを発表します。

Namazu は手軽に使えることを第一に目指した日本語全文検索システムです。 CGI として動作させることにより小中規模の WWW 全文検索システムを構築することができるほか、コマンドラインから利用する用途にも使えます。先日リリースした Namazu 2.0.15 を含め、2.0.15 以前の全てのバージョンの namazu.cgi に Directory Traversal 問題があることがわかりました。 Webサイト上で Windows 系 OS で Namazu 2.0.15 以前のバージョンを使用して検索処理を実現している全てのサイトで Directory Traversal 問題が存在し、Web サーバ内のファイルの内容を奪取等が可能になります。このため、この対策を行った Namazu 2.0.16 をセキュリティフィックスリリースとして公開いたします。 UNIX 系 OS 利用の場合は、通常利用環境において問題が起こらないことを確認していますが、条件がそろえば問題を起こしますので、Namazu 2.0.15 以前のバージョンをご利用の方は、バージョンアップをお勧めいたします。 Namazu 1.X をご利用の方も 2.0.16 にバージョンアップをお勧めいたします。

今回の Directory Traversal 問題は、pnamazu でも同様に問題が起こることを確認しています。pnamazu ご利用の方も対策済みのバージョンにバージョンアップを実施されることをお勧めいたします。

■ 主な変更内容

Directory Traversal 問題への対策

   namazu.cgi の CGI パラメータ lang, result にディレクトリを遡るよ
   うなパスを指定すると、Directory Traversal 問題が発生します。
   この Directory Traversal 問題の対策を行いました。

空白を含むファイル名の文書に対応

NTFS のアクセス権で読み込み許可がないものは処理をスキップするように変更

MeCab-perl-0.90rc10 への対応

■ 配布元

 Namazu 2.0.16 は、

　Namazu Web サイト <[URL]> で配布しています。

 pnamazu は、
 pnamazu Web サイト <[URL]>

で配布しています。

■ ライセンス　GPL2

■ 本件に関するお問合せ先

 Namazu Project

　e-mail: info@namazu.org

 URL: [URL]