by
Anonymous Coward
on 2015年05月20日 0時28分
(#2817374)
SEはGoogleに調査させてくれって、ちゃんとお願いを出している。
>> 06-Dec-2014 >> - Security Explorations informs Google that it would need a couple of more days to work on >> the project in order to bring it up to the usual quality when reporting issues to vendors. >> The company asks Google whether it would be able to lift the suspension from its GAE account.
でもってGoogleも基本的に受け入れる方向で動いたとSEは言っている。
>> 07-Dec-2014 >> - Google responds that it would appreciate to get whatever information Security >> Explorations has on the vulnerabilities now. The company informs that it generally >> encourages external researchers to stop as soon as they find a vulnerability, and let >> Google take it from there. Google also informs that it will check how to go about >> re-enabling suspended GAE account.
ストーリー補足 (スコア:5, 参考になる)
http://www.itmedia.co.jp/enterprise/articles/1412/09/news048.html [itmedia.co.jp]
http://www.itmedia.co.jp/enterprise/articles/1505/18/news027.html [itmedia.co.jp]
> Security Explorationsによると、同社は2014年12月以来、GAEに多数の脆弱性を発見してGoogleに報告し、Googleも修正などの対応を講じてきた。
> しかしまだ未解決の脆弱性が複数残っていて、悪用された場合、攻撃者がサンドボックスを抜け出して任意のコードを実行できてしまう恐れがあるという。
> 「世界中に何百人ものセキュリティ技術者がいると主張していて、他社に対しては即座に対応することを期待しているベン
Re: (スコア:0)
報告者のアカウント凍結って凄いな。
逆ギレにも程がある。
Re:ストーリー補足 (スコア:0)
誤爆によるBANだという可能性も有るとGoogle社を擁護は出来るが、他人に90日ルールを強制してコレはねぇ……
Re:ストーリー補足 (スコア:1)
誤爆も何も、意図的に決まってるじゃないですか。
PaaS環境上で脆弱性を探しまくって、
変なシステムコールを発生させまくっても、
御咎め無しなサービスがあるなら教えてくれ。
逆ギレじゃねーよ、あったりめーだよ。
# まぁ、そうすると許可が出るとも思えないから、
# 調査なんてできないけど……
何を怒ってるのか知らんけど (スコア:1)
SEはGoogleに調査させてくれって、ちゃんとお願いを出している。
>> 06-Dec-2014
>> - Security Explorations informs Google that it would need a couple of more days to work on >> the project in order to bring it up to the usual quality when reporting issues to vendors. >> The company asks Google whether it would be able to lift the suspension from its GAE account.
でもってGoogleも基本的に受け入れる方向で動いたとSEは言っている。
>> 07-Dec-2014
>> - Google responds that it would appreciate to get whatever information Security
>> Explorations has on the vulnerabilities now. The company informs that it generally
>> encourages external researchers to stop as soon as they find a vulnerability, and let
>> Google take it from there. Google also informs that it will check how to go about
>> re-enabling suspended GAE account.
Re:何を怒ってるのか知らんけど (スコア:1)
出してなくない?
それ読む限り、SEがお願い出したのはBANされた"後"としか読めないなあ。
『アカウント凍結の結果、調査が終わらなかった』ってのが、最初に書いてあるもの。
許可もらう前に人の環境で脆弱性をテストしちゃダメよ、やっぱり。
そら、アカウントも凍結するさ。
Re: (スコア:0)
3週間で公開というのは早いよなぁ。
90日ルールに倣ってくれれば、過ぎたときにGoogleを思い切り叩けたのに。
Re: (スコア:0)
おそらく、Googleに脆弱性の報告をしてもなしのつぶて。
何の反応も無い。
ところが、いつの間にか修正されてる。
修正しても、修正したとの報告も何もされない。
報告者が「こっそり直したんだろう」と言っても証拠が無い。
そこで、まだ脆弱性が直ってないことを確認して3週間でばらした。