全文検索エンジン「Namazu」最新版リリース、脆弱性など修正

 オープンソースの日本語全文検索エンジン「Namazu」を開発するNamazu Projectは2008年3月12日、最新版「Namazu 2.0.18」を公開した。Webブラウザのエンコード自動認識の誤認によるクロスサイトスクリプティング脆弱性などを修正した。

 脆弱性の修正は、検索結果のレスポンスヘッダのContentTypeに必ずcharsetを出力するようにした。これまで、デフォルトではcharsetを出力しなかったため、UTF-7エンコーディングされた文字列を検索式に指定した場合、Webブラウザのエンコード自動認識が誤認する可能性があった。この現象を悪用し、検索式にUTF-7エンコーディングされたスクリプトを指定してユーザーのWebブラウザ上で任意のスクリプトを実行される可能性(クロスサイトスクリプティング脆弱性)が指摘されていた。

 最新版では、このほか、インデックス作成プログラム「mknmz」にディスク空き容量不足のエラーチェックを追加、UTF-8変換ツールによる処理の違いを修正、改行コードや制御コード変換処理の修正など多くのバグフィックスを行った。

 Namazuは、中小規模のWebサイト全文検索システムや、コマンドラインからのローカル情報の検索などに利用されているオープンソース全文検索エンジン。GPL2ライセンスで公開されている。【鴨沢 浅葱/Infostand】

Namazu Project
http://www.namazu.org/