アカウント名:
パスワード:
JPCERTが受理しなかったのには、理由があったそうです。
ソースはこの辺:
http://twitter.com/hasegawayosuke/status/15614339358 [twitter.com]> UnLHAがIPAで不受理だという件、> http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 [nsknet.or.jp]> を見る限り制度の理解不足による誤解でしかない。
http://twitter.com/hasegawayosuke/status/15614795535 [twitter.com]> そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので> 不受理だろう(経産省告示第235号)。> http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]> ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載しているだけ。
http://twitter.com/hasegawayosuke/status/15614841340 [twitter.com]> LZH内のファイルがアンチウイルスで検出できない、というのにCVE番号欲し> いなら英語でbugtraqにでも投げればいい。その際、LZH形式がどれだけ日本> でメジャーなのかをきちんと伝えること。
http://twitter.com/hasegawayosuke/status/15614795535 > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので > 不受理だろう(経産省告示第235号)。 > http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]
これ本当でしょうか?
参照されている告示によれば、「脆弱性関連情報」には「脆弱性情報」すなわち
脆弱性の性質及び特徴を示す情報。 (告示 II 2 (1))
を含むとされており、「脆弱性」とは
ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。 (後略) (告示 II 1)
のことです。
そもそもこれだけでは「ウイルス対策ソフトが○○というウイルスを検出しない」というのが脆弱性関連情報 [ipa.go.jp]に該当するかしないか僕には明らかでありません。さらに、仮にウイルス対策ソフトが個別のウイルスを検出しない問題が告示で言う「脆弱性」に該当しないとしても、本件は個別のウイルスの話ではなく、「ウイルス対策ソフトが LZH 形式アーカイブの中まで検索すると謳っているのに、細工された LZH 形式アーカイブの中を検索しない場合がある」という問題です。告示に書かれた基準に照らして本件が脆弱性関連情報に該当しないと論ずるロジックは僕には理解できません。
これとは別に、 CVE 番号を振ってもらうためには英語で bugtraq に投稿する方が効果的じゃないの、という指摘は、実態を知りませんがそういうものかもと思います。
> 制度の理解不足による誤解でしかない。相変わらずの上から目線ですね。いったい何様なの?まあ作者が情報入手を断念して脆弱性が放置される [bakera.jp]ことよりお役所仕事の形式が守られることを重視するような組織だから当然ですか。ほんとにこんな役立たずの組織とっとと仕分けられちゃえばよかったのに。
> > 制度の理解不足による誤解でしかない。> 相変わらずの上から目線ですね。いったい何様なの?> まあ作者が情報入手を断念して脆弱性が放置されることより> お役所仕事の形式が守られることを重視するような組織だから当然ですか。
なんか大きな誤解があるようですが、twitter の @hasegawayosuke さんは、別に IPA の中の人じゃなくて、自分も IPA に報告して不受理の経験がある人に過ぎないようですよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
不受理の理由 (スコア:5, 参考になる)
JPCERTが受理しなかったのには、理由があったそうです。
ソースはこの辺:
http://twitter.com/hasegawayosuke/status/15614339358 [twitter.com]
> UnLHAがIPAで不受理だという件、
> http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 [nsknet.or.jp]
> を見る限り制度の理解不足による誤解でしかない。
http://twitter.com/hasegawayosuke/status/15614795535 [twitter.com]
> そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので
> 不受理だろう(経産省告示第235号)。
> http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]
> ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載しているだけ。
http://twitter.com/hasegawayosuke/status/15614841340 [twitter.com]
> LZH内のファイルがアンチウイルスで検出できない、というのにCVE番号欲し
> いなら英語でbugtraqにでも投げればいい。その際、LZH形式がどれだけ日本
> でメジャーなのかをきちんと伝えること。
Re:不受理の理由 (スコア:4, 興味深い)
これ本当でしょうか?
参照されている告示によれば、「脆弱性関連情報」には「脆弱性情報」すなわち
を含むとされており、「脆弱性」とは
のことです。
そもそもこれだけでは「ウイルス対策ソフトが○○というウイルスを検出しない」というのが脆弱性関連情報 [ipa.go.jp]に該当するかしないか僕には明らかでありません。さらに、仮にウイルス対策ソフトが個別のウイルスを検出しない問題が告示で言う「脆弱性」に該当しないとしても、本件は個別のウイルスの話ではなく、「ウイルス対策ソフトが LZH 形式アーカイブの中まで検索すると謳っているのに、細工された LZH 形式アーカイブの中を検索しない場合がある」という問題です。告示に書かれた基準に照らして本件が脆弱性関連情報に該当しないと論ずるロジックは僕には理解できません。
これとは別に、 CVE 番号を振ってもらうためには英語で bugtraq に投稿する方が効果的じゃないの、という指摘は、実態を知りませんがそういうものかもと思います。
Re:不受理の理由 (スコア:1, すばらしい洞察)
> いなら英語でbugtraqにでも投げればいい。その際、LZH形式がどれだけ日本
> でメジャーなのかをきちんと伝えること。
うん。自分もそう思うんだけど、じゃあJPCERTって何のためにいるの?
いなくてもいいんじゃね??
Re: (スコア:0)
CVEに報告すればいいという事を知る手段が無かったから今回の騒ぎになったわけでしょう。
Re: (スコア:0)
> 制度の理解不足による誤解でしかない。
相変わらずの上から目線ですね。いったい何様なの?
まあ作者が情報入手を断念して脆弱性が放置される [bakera.jp]ことよりお役所仕事の形式が守られることを重視するような組織だから当然ですか。
ほんとにこんな役立たずの組織とっとと仕分けられちゃえばよかったのに。
Re: (スコア:0)
> > 制度の理解不足による誤解でしかない。
> 相変わらずの上から目線ですね。いったい何様なの?
> まあ作者が情報入手を断念して脆弱性が放置されることより
> お役所仕事の形式が守られることを重視するような組織だから当然ですか。
なんか大きな誤解があるようですが、twitter の @hasegawayosuke さんは、
別に IPA の中の人じゃなくて、自分も IPA に報告して不受理の経験がある人
に過ぎないようですよ。