IPAは、オープンソースの検索システム「Namazu」の旧バージョンを使用しているのではないかという届出が多数寄せられているとして、ユーザーに更新を求めている。

[URL]

「ウェブサイト運営者は、自組織が使用しているソフトウェアの脆弱性対策情報を定期的に収集し、未対策の場合はソフトウェアに修正プログラム（パッチ）を適用する、もしくはソフトウェアをバージョンアップする必要があります。」

その通りです。

「なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*3)」で、このようなウェブサイトの不適切な運用に関しては、注意喚起などの方法で広く対策実施を促した後に処理を取りやめることとなりました。今後、「Namazu」の古いバージョンの利用によるウェブサイトの脆弱性の届出は受理しますが、取扱いを終了し、統計情報として活用します。 」

ん? ... いいのかそれで。面倒なので投げ出したって感じですな。 サイト管理者の自己責任なので知らんとでも言いたげに聞こえるが...。 こういう報告をする善意の第三者が沢山いるというのは、宝だと思うのだが、うざがらずに耳を傾けてもらいたいものですな。

「Namazu」を利用しているウェブサイト運営者は、脆弱性対策を施した最新版へのバージョンアップを実施してください。現時点で既知の脆弱性については2008年3月12日に公開されたNamazu 2.0.18以降において対策が施されているため、これ以前のものを使用している場合は、Namazu 2.0.18以降へのバージョンアップが必要です。」

これ以前って...これより古いバージョンを使用している場合でしょう。

「脆弱性対策情報データベースJVN iPediaの活用」

どうも IPA データベースやツールの宣伝に Namazu を槍玉にあげられたような気もしますが、まぁ良いでしょう。

Namazu メーリングリストを読んでいる人なら、事あるごとに最新バージョンを使えと私が言っているのを知っているでしょうから、IPAが注意喚起することには賛成です。それでバージョンアップを実施するきっかけになれば、何でもいいですから。

私が口がすっぱくなるほど言って聞かない人も、IPAが注意喚起すれば聞く人もいるでしょう。何でもいいです最新バージョンにバージョンアップする人が増えれば。

ところで、Namazuの旧バージョンを使用しているのではないかという届出が多数寄せられている原因としては、Namazu 自体が沢山使われているからという理由と、本当に古いバージョンを使い続けていてバージョンアップを怠っているからという理由の他に、検索結果の Web ページに表示される Namazu のバージョンが古い場合があるということがあります。

実際に使われている namazu.cgi のバージョンは利用者には分からないはずですので、本当に古いかどうかは分かりません。

検索結果の Web ページに表示される Namazu のバージョンは、テンプレートを使っていない場合は、インデックスを作成した時の mknmz のバージョンが表示されます。インデックスを更新しなければ検索結果の Web ページに表示される Namazu のバージョンも更新されませんが、Namazu のバージョンアップを行った後にインデックスを更新する必要はありませんので、検索結果の Web ページに表示される Namazu のバージョンが古いからといって古いバージョンの Namazu が使われているとは限りませんので namazu.cgi に脆弱性があるとは限りません。