2008年8月18日(月曜日)
セキュリティアップデートの報告は内容が分かるようにしてほしい
Movable Type をカスタマイズするというお仕事の最中、ぴしっと脆弱性を発見。
しかし慌てません。Movable Type には8月7日にセキュリティアップデートが出ている (www.sixapart.jp)のですが、開発環境ではこれが適用されていない状態だったのです。そこで、「この脆弱性はアップデートで直るはずなのでアップデートできるかどうか確認する必要がある」というメールを書いたりしました。
が……。その後、なんと最新版でも修正されていないことが判明。最近出たセキュリティアップデートは、どうやら別件だったようなのです。
「どうやら」というのは、そのセキュリティアップデートの内容がハッキリ書かれていないからなのですね。単にセキュリティアップデートが出たということくらいしか書かれていないわけでして、どのくらい危険なのかとか、アップデート以外の回避策があるのかとか、そういう知りたい情報が無いのが困るなぁ、と前から思っていたのでした。
で、「とある脆弱性が直っているのかどうか」という情報もないもので、てっきり直っているものと思ってしまったという……。面倒だからなのか、「攻撃者に情報を与えるので良くない」というポリシーなのか知りませんが、もう少し詳しく情報を公開してほしいと思うわけです。
※考えてみると、Microsoftはこういうところを凄く頑張っていますよね。逆に、そういう姿勢に慣れすぎてしまっているのかも。
※2008-10-17: 情報が公開されたので、非公開にしていたソフトウェア名を公開しました。
- 「セキュリティアップデートの報告は内容が分かるようにしてほしい」へのコメント (2件)
関連する話題: セキュリティ / Movable Type / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 2008年8月15日(Friday)のえび日記
- 次(新しい): 2008年8月19日(Tuesday)のえび日記
