mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに 42
ストーリー by hylom
既知だからといって直ちに修正するとは限らない 部門より
既知だからといって直ちに修正するとは限らない 部門より
あるAnonymous Coward 曰く、
昨年9月30日より賞金付きの脆弱性報告制度を開始したmixiだが、この報告制度を使って「外部からOSコマンドを実行できる」という重大な脆弱性が報告されたそうだ。だが、「既知の脆弱性である」と判断され賞金提供には至らなかったという。
問題の脆弱性はmixiが運営するサイト「ショッパーズアイ」にて見つかったもので、外部からOSコマンドを実行できるというもの(mixi脆弱性報告制度:評価対象外になったもの — WEB系情報セキュリティ学習メモ)。
mixiは脆弱性報告制度を開始した際、賞金の例として「リモートからWebサーバー上で任意のコードが実行可能」に「100万円」が提示されていたが、今回は「基地の脆弱性である」との判断で報酬の対象外になったという。
また、URLのパラメータを変更することでページ内のプルダウンメニューの項目を非常に大きな数に変更できるという、DoS攻撃を容易にする仕様についても報告したがこちらも「既知」とされてしまったそうだ。ちなみにこの報告者は過去にmixiに対し別の脆弱性を報告し報酬を手に入れているそうだ。
基地の脆弱性である (スコア:5, おもしろおかしい)
All your vulnerability of base are belong to us.
Re:基地の脆弱性である (スコア:1)
Resistance is futile.
できればもうちょっと誠実に (スコア:5, すばらしい洞察)
少なくとも報告者に対しては「既知の脆弱性である」の一言ではなくて、何時どのように発見されたものなのか(外部からの報告なのか、内部でのテストで見つかったのか、実際の攻撃や誤動作から発覚したものなのか)くらいは一言あるといいかなぁと思います。
openDoe-Ming Ver.0.72.9beta
実は本当に既知だったとしても (スコア:2)
-- 哀れな日本人専用(sorry Japanese only) --
Re: (スコア:0)
最初の一文の日本語がおかしいと思うんだけど。「セキュリティの専門家が」がどこにかかってるかわかりにくいし首尾一貫してなかったりねじれたりしててパース不能
この手の懸賞金付きコンテストはボコボコ見つかるらしい (スコア:1)
例の「日本人と思われるMasato Kinugawa氏 [l0.cm]」がサイボウズの脆弱性コンテストで優勝してプレゼンされたのを拝聴しましたが、スタート15分で報告したらすでに3番だったとの事。
Re: (スコア:0)
高く売れるタイミングを狙って寝かせてある脆弱性が一杯あるんだろうなぁ……XPも
引用元の追記を読んでみると… (スコア:1)
mixi脆弱性報告制度:評価対象外になったもの [fc2.com]
また、報告日時が日曜深夜だったので、週末に誰かが(私より先に)同様の脆弱性の報告を上げていたけど、月曜まではmixiさんに認識されていなかった、というようなことだったのかもしれません。(推定ですが)
いずれにせよ、mixiさんは私の他の脆弱性報告では高額な賞金をルール通りきっちり払ってくれてますので、この件だけ出し惜しみするとは思えないため、「既知」というのが具体的にどういう状況だったのか分からないながらも、正当な判断だったんだろうなと思っています。
問題の脆弱性が締め切りギリギリに報告されており、
しかも割とオーソドックスなインジェクション攻撃なので他の人が報告済みの可能性が高いのと、
この人自体別の報告でAmazonギフトを規定通り10万円分貰ってるようなので、
今回はmixi側の回答がちょっとまずかった、程度の話で終わりそうですね。
Re: (スコア:0)
この件だけ出し惜しみはしてないだろうっていうのは、ナイーブすぎないかな。
ちゃんと説明していないってことは、予算が尽きて、その時点からすべて既知としている可能性だってあるし。
Re: (スコア:0)
Amazonギフト10万か。
なぜだろう、現金10万よりなんかわくわくする。
Re: (スコア:0)
9万6000円でで10万円ぶんお喜びいただき、光栄でございます。
https://affiliate.amazon.co.jp/gp/associates/join/getstarted_seventh [amazon.co.jp]
(これはアフィの場合ですが、似たような金額設定だと思われ)
既知って言うなら (スコア:0)
いつ報告があって、重大なのに直さなかったという事実を明らかにしなきゃ。
※mixiは重大な脆弱性を直さないって言われかねない話だと思うんだけど………
mixiにアカウントあるけど使わないからどうでもいい………というかパスワード忘れたw
Re:既知って言うなら (スコア:2, おもしろおかしい)
「mixiは、重大な脆弱性を直さないと言われかねないことも正直に報告する、
信頼の置ける企業です」
Re: (スコア:0)
鉄の斧を落としても金の斧どころか元の斧も返ってこない川…
な~んだmixiはただの川か
Re:既知って言うなら (スコア:1)
まぁ締切最終日だったんで、時間差で先に誰かに発見されて報告済みだったのかもって感じで報告者の人も解釈してますね
Re:既知って言うなら (スコア:1)
それなら既知というより「すでに他の人から何月何日何時ごろ報告があったので・・・。現在修正中です」と返答すべきだと思うけどね。
こんな対応なら探す気も失せるし、報告せずにウェブに流してしまう方がおもしろかったりする。
本当に既知だったんだろうか (スコア:0)
あまりにポコポコ発見されてしまったので、報告者1人につき1つは認めてあとは既知にした、とか疑ってしまう。
Re:本当に既知だったんだろうか (スコア:2)
マジキチだよ。
Re: (スコア:0)
残念ながらリンク先だけでも二つ以上認められてます
予算額オーバーしちゃったから既出にしたってほうがまだありえそう
Re: (スコア:0)
オウムだかの指名手配者の情報提供に「その情報は素手に把握していた」って言って払わなかったどこかの組織を思い出した。
Re: (スコア:0)
>素手に把握していた
握り潰していたって事だろうか
Re:本当に既知だったんだろうか (スコア:1)
基地の脆弱性にあやかったんだろう。
Re: (スコア:0)
既知の逮捕゜だったのだろう
Re: (スコア:0)
一番じゃなかったってだけの話だろうに
新しい虚弱性 (スコア:0)
「既知の脆弱性」があるのに対策をうたないという運用上の虚弱性を発見した。
えっそんな虚弱性は既知だって!?
Re: (スコア:0)
Re: (スコア:0)
体質なんだよ
罠か (スコア:0)
Re: (スコア:0)
善意の報告者を絡めとって根絶やしにしてやる!
これかホントの塩対応 (スコア:0)
ショッパーズ。
オススメのいい脆弱性調査ツールとか (スコア:0)
防御システムとか、あれば教えてください。
hylom仕事しろ (スコア:0)
「基地の脆弱性である」って何だ?
Re:hylom仕事しろ (スコア:2, おもしろおかしい)
誤字を混入させることで書き込みを誘発するだけの簡単なお仕事です。
Re:hylom仕事しろ (スコア:2)
部門名が惜しいなあ。
やっぱ「基地だからといって直ちに修正するとは限らない 部門より」だろ。
Re: (スコア:0)
誤字でこれだけ暇人を釣り上げているのだから十分な仕事じゃないか?
Re: (スコア:0)
それはスラドの脆弱性である
まんまとタダ働きさせられるなんてバカだなあ (スコア:0)
まあこれでspammerにでも売ったほうがマシだと学習したことでしょう。
Re: (スコア:0)
元記事も読まずにタイトルだけ読んでコメント投稿するとなんてバカだなぁ
基地 (スコア:0)
> 今回は「基地の脆弱性である」との判断で
たいぽ。
Re: (スコア:0)
いや
基地がダメということは
基地外な脆弱性ならいいということだろ。
Re: (スコア:0)
墓地ならよかったんだよ。
Re: (スコア:0)
だってhy