2008年3月28日(金曜日)
届出の受理、遅くありませんか?
セキュリティホールmemo に、「[openmya:038862] Re: 脆弱性の報告は何処にすればいい? (www.st.ryukoku.ac.jp)」という話題が。IPA の届出受理がいやに遅くないかしら……という話ですが、確かに最近ちょっと遅い気がしますね。手元の今月受理された届出を確認してみると、こんな感じでした。
種類 | 受信日 | 受理日 | 取扱開始 | 受理までの期間 |
---|---|---|---|---|
XSS | 2月28日 | 3月18日 | 3月18日 | 19日 |
XSS | 3月6日 | 3月24日 | 3月25日 | 18日 |
XSS | 3月6日 | 3月24日 | - | 18日 |
XSS+ディレクトリ・トラバーサル | 3月10日 | 3月21日 | 3月24日 | 11日 |
XSS | 3月10日 | 3月25日 | - | 15日 |
XSS | 3月11日 | 3月26日 | 3月26日 | 15日 |
XSS | 3月12日 | 3月27日 | 3月27日 | 15日 |
SQLインジェクション | 3月17日 | 3月27日 | - | 10日 |
受信日というのは「届出情報受信のご連絡」が来た日、受理日は「届出情報受理のご連絡」が来た日、取扱開始は「取扱い開始のご連絡」が来た日です。1ヶ月ということはないけれど、長いものは20日近くかかっていますね。単なる XSS でもこの長さなので、複雑なものだったり、ソフトウエア製品の脆弱性だったりすると、もっとかかることが予想されます。
基本的に、届け出た側は「この脆弱性が悪用されたりしないかしら……」と心配しているので、長く寝かされると精神衛生上よろしくないです。特に、上記の12日受信・27日受理のやつはトレンドマイクロの件なのですが、2週間寝かされたのはドキドキでした……。
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 2008年3月27日(Thursday)のえび日記
- 次(新しい): 2008年3月29日(Saturday)のえび日記