アカウント名:
パスワード:
JPCERTが受理しなかったのには、理由があったそうです。
ソースはこの辺:
http://twitter.com/hasegawayosuke/status/15614339358 [twitter.com] > UnLHAがIPAで不受理だという件、> http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 [nsknet.or.jp] > を見る限り制度の理解不足による誤解でしかない。
http://twitter.com/hasegawayosuke/status/15614795535 [twitter.com] > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので> 不受理だろう(経産省告示第235号)。> http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp] > ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載してい
http://twitter.com/hasegawayosuke/status/15614795535 > そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので > 不受理だろう(経産省告示第235号)。 > http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]
これ本当でしょうか?
参照されている告示によれば、「脆弱性関連情報」には「脆弱性情報」すなわち
脆弱性の性質及び特徴を示す情報。 (告示 II 2 (1))
を含むとされており、「脆弱性」とは
ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。 (後略) (告示 II 1)
のことです。
そもそもこれだけでは「ウイルス対策ソフトが○○というウイルスを検出しない」というのが脆弱性関連情報 [ipa.go.jp]に該当するかしないか僕には明らかでありません。さらに、仮にウイルス対策ソフトが個別のウイルスを検出しない問題が告示で言う「脆弱性」に該当しないとしても、本件は個別のウイルスの話ではなく、「ウイルス対策ソフトが LZH 形式アーカイブの中まで検索すると謳っているのに、細工された LZH 形式アーカイブの中を検索しない場合がある」という問題です。告示に書かれた基準に照らして本件が脆弱性関連情報に該当しないと論ずるロジックは僕には理解できません。
これとは別に、 CVE 番号を振ってもらうためには英語で bugtraq に投稿する方が効果的じゃないの、という指摘は、実態を知りませんがそういうものかもと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
不受理の理由 (スコア:5, 参考になる)
JPCERTが受理しなかったのには、理由があったそうです。
ソースはこの辺:
http://twitter.com/hasegawayosuke/status/15614339358 [twitter.com]
> UnLHAがIPAで不受理だという件、
> http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602 [nsknet.or.jp]
> を見る限り制度の理解不足による誤解でしかない。
http://twitter.com/hasegawayosuke/status/15614795535 [twitter.com]
> そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので
> 不受理だろう(経産省告示第235号)。
> http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf [meti.go.jp]
> ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載してい
Re:不受理の理由 (スコア:4, 興味深い)
これ本当でしょうか?
参照されている告示によれば、「脆弱性関連情報」には「脆弱性情報」すなわち
を含むとされており、「脆弱性」とは
のことです。
そもそもこれだけでは「ウイルス対策ソフトが○○というウイルスを検出しない」というのが脆弱性関連情報 [ipa.go.jp]に該当するかしないか僕には明らかでありません。さらに、仮にウイルス対策ソフトが個別のウイルスを検出しない問題が告示で言う「脆弱性」に該当しないとしても、本件は個別のウイルスの話ではなく、「ウイルス対策ソフトが LZH 形式アーカイブの中まで検索すると謳っているのに、細工された LZH 形式アーカイブの中を検索しない場合がある」という問題です。告示に書かれた基準に照らして本件が脆弱性関連情報に該当しないと論ずるロジックは僕には理解できません。
これとは別に、 CVE 番号を振ってもらうためには英語で bugtraq に投稿する方が効果的じゃないの、という指摘は、実態を知りませんがそういうものかもと思います。