EC-CUBE、既知の脆弱性の詳細公開に対し公開中止を要請 12
ストーリー by hylom
本気の相手には効きません 部門より
本気の相手には効きません 部門より
人気のECサイト構築ソフトウェア「EC-CUBE」に関する既知の脆弱性の詳細が発表されたのだが、これに対しEC-CUBEの開発元から公開中止の要請があったという(記事の追記、Togetterまとめ)。
この背景について、ECサイト構築支援を行っているTHANK Uが「EC-CUBE脆弱性情報の公開の是非」として説明を行っているのだが、これによるとサイト構築後に適切な運用を行っていないEC-CUBEユーザーが存在し、修正パッチの適用やアップデートを行っていないサイトが少なからずあるという。そのため、脆弱性の再現手順を公開することはユーザーを危険にさらす可能性があると危惧されている。
ただ、解説されている脆弱性はすべて既知のものであり、JVNなどで情報が公開されている。EC-CUBEはオープンソースなので、詳細は明らかにされていなくても、ソースコードの差分を確認すれば修正された個所から脆弱性の内容を推測できる可能性があるため「脆弱性の再現手順の公開」を防ぐことに意味があるかどうかは不明だ。
でも必要なんだよな (スコア:2, すばらしい洞察)
exploit 公開してもらわないと、対策したとしても本当に対策できてるか確認するのが手間。
結局自分で攻撃ツール作って試してみる羽目になる。
すぐに公開するのはどうかと思うがある程度時間がたったら知識は共有すべきではないかな。
どうせ悪人たちは裏で知識を共有してるのに、子供のイタズラを気にして対策側の知識を制限するのは悪手としか言いようがない。
EC-CUBE公式アカウントの発言 (スコア:1)
EC-CUBE公式アカウントの発言
https://twitter.com/EC_CUBE/status/771592042656837632 [twitter.com]
> EC-CUBEの過去の脆弱性に関し一部で話題になっていますが、全ての脆弱性情報は公式サイトで公開しています。パートナー様、開発コミュニティの方には過去、対応依頼を運営から発信しており、対応済の方が大半と思いますが、今一度ご確認下さい。
http://www.ec-cube.net/info/weakness/ [ec-cube.net]
PCデポ (スコア:0)
社長「なんだこの保守料というのは! わしが何も知らないとぼったくる気だな!」
Re:PCデポ (スコア:1)
「社長と一緒で、いざというときに頼りにするためのものです」とでも答えとくか?
Re: (スコア:0)
社長「つまり、役立たずと言うことではないか!」(ぇ
Re: (スコア:0)
保守料「なんだこの社長というのは! わしが何も知らないとぼったくる気だな!」
難しい (スコア:0)
ピッキング対策されたドアロックが存在しているからと言って
ピッキングの方法を公開したり道具を販売したりすれば問題視される
ソフトウェアでも
侵入の再現手順を公開したりそのコードを配布するのを
問題視する考え方も理解できなくはない
Re: (スコア:0)
そもそも運用関係者にのみ伝えれば良い情報であって、それ以外への伝達は危険度を上げるだけですからね。
自分で解析できない人間がカジュアルに攻撃し易くなるって事だから。
メンテナが認識していない時とか対応を拒否している時とは状況は違うだろう。
Re: (スコア:0)
> サイト構築後に適切な運用を行っていないEC-CUBEユーザー
に広く知らせるためとか?
Re: (スコア:0)
悪人に情報を伝えずに全国津々浦々のEC-CUBE運用関係者だけに情報を伝える方法を教えて欲しい。
Re: (スコア:0)
問題視されますかね?
日本は法律で特殊解錠用具の所持が禁止されましたが。方法の公開で問題視されたという話しは聞きませんし
海外だと趣味でピッキングしている連中がいるがそちらも問題視されているという認識は無かったです
楕円曲線暗号に脆弱性が発見されたのかと空目した (スコア:0)
やっぱ国産ソフトなんか使うもんじゃないな