水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 疑惑レベルで届出OK

疑惑レベルで届出OK

2004年10月20日(水曜日)

疑惑レベルで届出OK

更新: 2004年11月4日

MYCOM PC WEB にも出ていましたね……「脆弱性届出制度、開始から3カ月 - 92件の届出、13件の修正完了 (pcweb.mycom.co.jp)」。こちらは興味深い点が二点ほど。

早貸セキュリティセンター長は「"(脆弱性が存在する)可能性があるかもしれない"程度のレベルで届け出てもらってかまわない。あとはIPAが調べる」と述べており、詳細な脆弱性情報を届け出なくてもIPA側では情報を受け付け、検査、ベンダーとの調整が行われることを強調した。

以上、脆弱性届出制度、開始から3カ月 - 92件の届出、13件の修正完了 より

まあ私も SQL のエラーメッセージを見ただけで「SQLインジェクションの疑いあり」とか言って届けちゃってるんですが、それで OK みたいですね。それでもさすがに「input type="hidden" にファイル名っぽいパラメータがある」というだけで届け出るのは抵抗があったのですが、そんなのでも届け出ちゃって良いということかしら。

※軽い疑惑のレベルで届けたりすると IPA 側がパンクするのではないかと懸念していましたが、現状の届出件数を見る限りではパンクしそうにないですね。:-)

ちなみに届け出られた脆弱性情報は現在92件だが、脆弱性を届け出た人は22人となっており、一人で複数の脆弱性を届け出ている例が多かったという

以上、脆弱性届出制度、開始から3カ月 - 92件の届出、13件の修正完了 より

22人というのはまたえらく少ないですね。

office さんの逮捕は、思ったよりもずっと悪い影響を及ぼしているのかもしれません。

※2004-11-04 追記: 「input type="hidden" にファイル名っぽいパラメータがある」というだけのものを一件届け出てみたのですが、受理され、取り扱われ、そして修正されました

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / SQLインジェクション

最近の日記

関わった本など