先月末に脆弱性対策情報データベースに掲載された JVNDB-2009-004384 によると、Jura Impressa F90 (Amazon.co.uk のアイテム) 用の Jura Internet Connection Kit は、特権関数へのアクセスを適切に制限しないことが分かった。

悪意ある第三者が巧妙に細工したリクエストを行うことにより、サービス運用妨害 (物理的損害) 状態にされる、コーヒーの設定を変更される、およびコードを実行されるといった深刻な事態となることが考えられる。つまり「俺はエスプレッソを飲もうとしたらいつのまにかカプチーノを飲んでいた」という危険性があり (参考: hority 氏によるつぶやき) 、CVSS による深刻度も 10.0 (危険) となっている。該当機種保有者はすみやかにベンダーからの情報を参照して適切な対策を実施するように広く呼びかけられている。

さらに政治的に深刻なことは、公表日 (届け出が行われた日時) が 2009 年 9 月であり、JVNDB に登録されるまで 3 年もの月日を要した点にある。米国では CVE-2008-7173 ですみやかに脆弱性が公開されており、国内の暗黒 (ブラック) コーヒー業界とセキュリティ企業の癒着により公開が遅延させられた可能性もある。沈静化していたコーヒー派と紅茶派の武力闘争が再燃することも想像に難くない。モヒカンの多い /.J 民におかれましては落ち着いた行動に努めて頂きたい。

ネットワークに詳しい名古屋大学の高倉教授によると「大至急機材を調達して調査する」とのことで識者による検証が待たれる。また RFC2324 の Security Considerations において DoCS (Denial of Coffee Service) については 98 年の (4 月 1 日の) 時点で指摘されているが、今回明らかになった脆弱性はさらに深刻なものとなっている。