全文検索エンジン「Namazu」最新版リリース、脆弱性など修正 | OSDN Magazineオープンソースの日本語全文検索エンジン「Namazu」を開発するNamazu Projectは2008年3月12日、最新版「Namazu 2.0.18」を公開した。Webブラウザのエンコード自動認識の誤認によるクロスサイトスクリプティング脆弱性などを修正した。 脆弱性の修正は、検索結果のレスポンスヘッダのContentTypeに必ずcharsetを出力するようにした。これまで、デフォルトではcharsetを出力しなかったため、UTF-7エンコーディングされた文字列を検索式に指定した場合、Webブラウザのエンコード自動認識が誤認する可能性があった。この現象を悪用し、検索式にUTF-7エンコーディングされたスクリプトを指定してユーザーのWebブラウザ上で任意のスクリプトを実行される可能性(クロスサイトスクリプティング脆弱性)が指摘されていた。 最新版では、このほか、インデックス作成プログラム「
