2009/10/14 (水)更新
平素は弊社サービスをご利用いただきましてありがとうございます。
このたび、日本語全文検索システム「Namazu」に、特定の条件下において、リモートからバッファオーバーフローが発生する可能性のある脆弱性が発見されました。このため、問題の概要と弊社における対応についてご案内いたします。
本件につきまして、対象のお客様には同内容のお知らせメールをお送りしております。ご不明な点等ございましたら、同内容のお知らせメールの返信にてお問合せください。
今後ともクララオンラインをどうぞ宜しくお願いいたします。
日本語全文検索システム「Namazu」のバージョン 2.0.19 以前には、フィールド指定検索時に利用される情報を格納するファイルである「NMZ.field.*」ファイルの内部に空行があり、なおかつ、検索により当該フィールド値が表示された場合、バッファオーバーフローが発生する問題があります。
なお、開発元の情報によれば、NMZ.field ファイルに空行が含まれることは、通常はなく、インデックスを直接編集して NMZ.field ファイルに空行を含めた場合や、summary が空になる条件の場合にのみ問題が発生するとされております。このため、一般的な条件下においては問題が生じないと考えられます。
詳細に関しましては、Namazu Project の情報をご参照ください。
Namazu Project より、当該問題点を修正した バージョン 2.0.20 が提供されておりますので、Namazu パッケージの更新をお勧めいたします。
更新につきましては、お客様にて実施いただく方法と、弊社にて更新作業を代行させていただく方法とがございます(無償)。
お客様にてアップデートを行われる場合には、修正済みパッケージをダウンロードいただき、更新作業を実施していただきます。具体的な手順につきましては、以下のページをご参照ください。
弊社によるアップデートをご希望されるお客様を対象に、弊社にてアップデート作業を代行いたします。弊社による Namazu のアップデート代行を希望されるお客様は、以下のオンラインフォームに必要事項をご記入ください。(サーバのIPアドレス等の間違いを防ぐため、お電話によるお申し込みは受け付けることが出来ませんので、必ずフォームにてご依頼ください。)
※作業時間は弊社営業時間内 (平日10時~18時) とさせていただいております。作業時間のご指定はいただけませんので、あらかじめご了承ください。
※Namazu をご利用いただいていない場合は、Namazu をアンインストールすることをお勧めいたします。アンインストールのご依頼もこちらの依頼フォームよりご依頼いただけます。
サーバ上の Namazu パッケージが脆弱性対応済みのバージョンとなっているか を確認するには、サーバ上に ssh でログインし、以下のコマンドを実行してください。
パッケージの一覧が表示されます。namazu の後ろにバージョン番号が表示されます。 2.0.20 になっていましたら対策済みとなります。
RPM パッケージで Namazu を更新する際におきましては、アップデートに伴い、テンプレートデータなど Namazu 関連ファイルが RPM パッケージに含まれる標準のデータで上書きされる場合がございます。設定をカスタマイズされている場合には、あらかじめバックアップを取得いただくとともに、作業後には必ず確認を行っていただきますようお願い申し上げます。
弊社にてインストールさせていただいた namazu.cgi は、以下のパスにインストールされており、当該ファイルのみが更新対象となります。
お客様にて namazu.cgi のファイル名を変更、または別ディレクトリにコピーされている場合には、当該ファイルを更新後の namazu.cgi の内容で上書きいただく必要がございます(パッケージ更新後も、以前の namazu.cgi がシステム上に存在する場合には、脆弱性対策が不完全な状態となります)。
namazu.cgi が存在する場所については、以下のコマンドで調査が可能ですので、不明な場合にはご確認いただくことをお勧めいたします。
お客様にはお手数をおかけいたしますが、サービスの安定的な運用を行うため、 ご理解・ご協力の程、よろしくお願い申し上げます。