IPA、「Namazu」ユーザーに脆弱性対策済みバージョンを使うよう注意喚起
情報処理推進機構(IPA)は2009年8月20日、オープンソースの全文検索システム「Namazu」のユーザーに向け、新しいバージョンを使うよう「注意喚起」した。脆弱性を修正していない旧バージョンを使用しているWebサイトがあるとの届け出が増えていることを受けた。
IPAによると、脆弱性対策済みバージョンが公表されているにもかかわらず、Web運営者が古いバージョンを使用しているのではないか、との届け出が昨年8月ごろから増加。2004年12月に公表された「Namazuにおけるクロスサイト・スクリプティングの脆弱性」については、7月末時点で235のWebサイトに対する届け出があったという。運営主体は、民間企業(84)、地方公共団体(64)、教育・学術機関(38)などが多い。
脆弱性を悪用して、ユーザーのWebブラウザ上で任意のスクリプトを実行されるおそれがあり、偽ページの表示や偽情報の流布による混乱、フィッシング詐欺による情報漏えいなどの危険があるとしている。脆弱性の深刻度は3段階のうち2番目の「警告」(CVSS基本値4.3)。
脆弱性対策には、3月12日に公開された「Namazu 2.0.18」以降にバージョンアップする必要がある。またIPAは、今後も開発者が発信する情報を定期的に収集してバージョンアップを行っていくよう推奨している。
IPAでは、放置しておくと不正アクセスを受ける危険性が高い脆弱性について、迅速な対応を求める「緊急対策情報」を随時発信。対象となる脆弱性を使った攻撃が確認されている場合は「緊急対策情報」、未確認の場合は「注意喚起」を行っている。
「Namazu」の古いバージョンを利用しているウェブサイトへの注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html
緊急対策情報・注意喚起一覧
http://www.ipa.go.jp/security/announce/alert.html
Namazu
http://www.namazu.org/
