Namazu に クロスサイトスクリプティングの問題

JVN#904429FE:クロスサイトスクリプティングの脆弱性が指摘されていたのだが、http://www.namazu.org/『タブ(%09) から始まる検索文字列による問題』による

2.0.13 以前までの namazu.cgi はタブ(%09)から始まる検索文字列を指定すると、検索文字列がサニタイズされなくなり、クロスサイトスクリプティング脆弱性が発生します。 2.0.14 以降では先頭のタブを削除することで、この問題に対処しました。

という報告を受けて、2.0.14 にアップデート。

$ cd namazu-2.0.14/File-MMagic $ perl Makefile.PL $ make $ sudo make install $ cd .. $ ./configure $ make $ make check $ sudo make install

参照

全文検索システム Namazu http://www.namazu.org/

Namazu とは関係無いが、ついでにパケットキャプチャとしてngrepも導入。

$ cd ngrep-1.42 $ ./configure $ make $ sudo make install

$ sudo ngrep port 80

でHTTPのキャプチャができるようになった。簡単。

Etherealも入れようと思ったが「GTK+が無い」と怒られた。あれれGUIベースなんだ…、というわけで Ethereal はサーバーを新しくしたら考えよう。

参照

ngrep http://ngrep.sourceforge.net/

Ethereal http://www.ethereal.com/

@IT http://www.atmarkit.co.jp/

Etherealを使おう http://www.space-peace.com/ethereal/