パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける」記事へのコメント

  • 不受理の理由 (スコア:5, 参考になる)

    by Anonymous Coward on 2010年06月07日 19時29分 (#1776139)

    JPCERTが受理しなかったのには、理由があったそうです。

    ソースはこの辺:

    http://twitter.com/hasegawayosuke/status/15614339358 [twitter.com]
    > UnLHAがIPAで不受理だという件、
    > http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 [nsknet.or.jp]
    > を見る限り制度の理解不足による誤解でしかない。

    http://twitter.com/hasegawayosuke/status/15614795535 [twitter.com]
    > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので
    > 不受理だろう(経産省告示第235号)。
    > http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]
    > ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載しているだけ。

    http://twitter.com/hasegawayosuke/status/15614841340 [twitter.com]
    > LZH内のファイルがアンチウイルスで検出できない、というのにCVE番号欲し
    > いなら英語でbugtraqにでも投げればいい。その際、LZH形式がどれだけ日本
    > でメジャーなのかをきちんと伝えること。

    • by fcp (32783) on 2010年06月07日 22時25分 (#1776236) ホームページ 日記

      http://twitter.com/hasegawayosuke/status/15614795535
      > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので
      > 不受理だろう(経産省告示第235号)。
      > http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]

      これ本当でしょうか?

      参照されている告示によれば、「脆弱性関連情報」には「脆弱性情報」すなわち

      脆弱性の性質及び特徴を示す情報。 (告示 II 2 (1))

      を含むとされており、「脆弱性」とは

      ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。 (後略) (告示 II 1)

      のことです。

      そもそもこれだけでは「ウイルス対策ソフトが○○というウイルスを検出しない」というのが脆弱性関連情報 [ipa.go.jp]に該当するかしないか僕には明らかでありません。さらに、仮にウイルス対策ソフトが個別のウイルスを検出しない問題が告示で言う「脆弱性」に該当しないとしても、本件は個別のウイルスの話ではなく、「ウイルス対策ソフトが LZH 形式アーカイブの中まで検索すると謳っているのに、細工された LZH 形式アーカイブの中を検索しない場合がある」という問題です。告示に書かれた基準に照らして本件が脆弱性関連情報に該当しないと論ずるロジックは僕には理解できません。

      これとは別に、 CVE 番号を振ってもらうためには英語で bugtraq に投稿する方が効果的じゃないの、という指摘は、実態を知りませんがそういうものかもと思います。

      親コメント
    • Re:不受理の理由 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2010年06月08日 8時05分 (#1776386)
      > CVE番号欲し
      > いなら英語でbugtraqにでも投げればいい。その際、LZH形式がどれだけ日本
      > でメジャーなのかをきちんと伝えること。

      うん。自分もそう思うんだけど、じゃあJPCERTって何のためにいるの?
      いなくてもいいんじゃね??
      親コメント
    • by Anonymous Coward
      それならそうと、件の人はわざわざ報告しているわけですから、返答時に説明して欲しい所ですよね。
      CVEに報告すればいいという事を知る手段が無かったから今回の騒ぎになったわけでしょう。
    • by Anonymous Coward

      > 制度の理解不足による誤解でしかない。
      相変わらずの上から目線ですね。いったい何様なの?
      まあ作者が情報入手を断念して脆弱性が放置される [bakera.jp]ことよりお役所仕事の形式が守られることを重視するような組織だから当然ですか。
      ほんとにこんな役立たずの組織とっとと仕分けられちゃえばよかったのに。

      • by Anonymous Coward

        > > 制度の理解不足による誤解でしかない。
        > 相変わらずの上から目線ですね。いったい何様なの?
        > まあ作者が情報入手を断念して脆弱性が放置されることより
        > お役所仕事の形式が守られることを重視するような組織だから当然ですか。

        なんか大きな誤解があるようですが、twitter の @hasegawayosuke さんは、
        別に IPA の中の人じゃなくて、自分も IPA に報告して不受理の経験がある人
        に過ぎないようですよ。

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...