公開日: 2005/10/28  最終更新日: 2005/10/28

平林幹雄からの情報

JVN#18282718
脆弱性タイトル:Hyper Estraier におけるディレクトリトラバーサル/サービス不能の脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

Hyper Estraierの全てのバージョンで共通して発生する問題である。対象のプラット
フォームは、Windows系(FATファイルシステム、NTFSファイルシステム)である。
Linux、Mac OS X、その他のUNIX系システムでは発生しない。

WindowsではUnicodeの文字をファイル名の一部に用いることができるが、それをマル
チバイト文字として読み込むと、いくつかの文字は別の文字に正規化されてしまう。
正規化された結果、メタ文字を含んだファイル名や予約名と重なるファイル名が生成
された場合には、アプリケーションが不正な挙動を示すことがある。

暗黙の正規化を引き起こすことや、その結果として不正な挙動を引き起こすような
ファイルを生成できるという仕様には嫌悪感を禁じ得ないが、Microsoft社が仕様変更
することは見込めないので、こちらで回避策を実装した。Hyper Estraier 1.0.2以降に
バージョンアップすれば、この問題は回避される。

最新バージョンは以下のURLから入手可能である。
http://hyperestraier.sourceforge.net/