水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > IPAのせいでUNLHA32.DLLが開発停止、の誤解

IPAのせいでUNLHA32.DLLが開発停止、の誤解

2010年6月7日(月曜日)

IPAのせいでUNLHA32.DLLが開発停止、の誤解

公開: 2010年6月11日0時55分頃

UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける (slashdot.jp)」というお話が。ネタ元はUNLHA32.DLLの作者であるmiccoさんの日記のようですが……。

「『LZH 書庫なんて知らねぇ~よ』という態度」と解釈したのは, ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」, JVN / IPA については「『ZIP, CAB, 7z 書庫など, 脆弱性情報として公開されている同様のケース (対策ソフト等で検疫が行われない不具合:JVNVU#545953。) と何が異なるのか?』といった質問に対して未回答だった」, といった経緯からです。

以上、http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 より

いや、これは誤解ではないかと……。JVNVU#545953 (jvn.jp)は、情報セキュリティ早期警戒パートナーシップの制度によってIPAやJPCERT/CCが取り扱ったものでありません。「脆弱性レポートの読み方 (jvn.jp)」に書いてあるのですが、IPAやJPCERT/CCが取り扱った情報なら、識別番号がJVN#で始まります。これはJVNVU#となっていますから、CERT/CCから提供された情報です。

何が異なるのか、という質問に対しては「ルールが異なる海外の組織で取り扱われた脆弱性である、という点で異なる」という回答で良いのではないかと思います。どうして未回答なのかは良く分かりませんが。

※単純に中の人が返信を忘れていることも結構あるので、つついてみると良いかも? :-)

それはそれとして、問題になっているのはこういうことですね。

確かに問題があると言えばありますが、それほど重大な問題でしょうか。たとえば、トレンドマイクロのInterScanはメールに添付されたZIPファイルをチェックしますが、パスワードがついていたり、中身のファイルが100個以上あったりすると、「チェックできなかった」という警告メッセージを残しつつもメールは通してしまいます。どんな種類のアーカイブでもチェックできると保証している製品があるならともかく、「仕様です」と言われるならそうかなと思う程度だと思うのですけれど。

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / IPA / JPCERT/CC

最近の日記

関わった本など