アカウント名:
パスワード:
コマンドインジェクションの脆弱性があったソフトウェアが、Movable Type用プラグインの「ケータイキット for Movable Type [keitaikit.jp]」だとJ-WAVEが当初は公表していて、あとでソフト名を記載から削除した [security-next.com]のはなにか大人の事情があったのでしょうか。ソフト名を隠すことがセキュリティ上の利点になるかっていうと、そうは思えないです。むしろ逆のような。
(4)発見者は、当該脆弱性情報が受付機関及び調整機関から公表されるまでの間、当該脆弱性関連情報を第三者に漏えいしないよう適切に管理すること。ただし、当該脆弱性関連情報を正当な理由により第三者に開示する場合、あらかじめ受付機関に問い合わせをすること。
ソフトウエア等脆弱性関連情報取扱基準 [meti.go.jp]
脆弱性公開のガイドラインに違反してる事を指摘されたからでしょ。公表は勝手にやらずにIPAやJPCERTで調整してもらう方が、セキュリティ上の利点になるしね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
ケータイキット for Movable Type (スコア:2)
コマンドインジェクションの脆弱性があったソフトウェアが、Movable Type用プラグインの「ケータイキット for Movable Type [keitaikit.jp]」だとJ-WAVEが当初は公表していて、あとでソフト名を記載から削除した [security-next.com]のはなにか大人の事情があったのでしょうか。
ソフト名を隠すことがセキュリティ上の利点になるかっていうと、そうは思えないです。
むしろ逆のような。
Re:ケータイキット for Movable Type (スコア:0)
ソフトウエア等脆弱性関連情報取扱基準 [meti.go.jp]
脆弱性公開のガイドラインに違反してる事を指摘されたからでしょ。
公表は勝手にやらずにIPAやJPCERTで調整してもらう方が、セキュリティ上の利点になるしね。