パスワードを忘れた? アカウント作成
10836223 story
セキュリティ

mixiが運営するサイトで重大な脆弱性が発見されるも「既知の脆弱性である」として賞金は無しに 42

ストーリー by hylom
既知だからといって直ちに修正するとは限らない 部門より
あるAnonymous Coward 曰く、

昨年9月30日より賞金付きの脆弱性報告制度を開始したmixiだが、この報告制度を使って「外部からOSコマンドを実行できる」という重大な脆弱性が報告されたそうだ。だが、「既知の脆弱性である」と判断され賞金提供には至らなかったという。

問題の脆弱性はmixiが運営するサイト「ショッパーズアイ」にて見つかったもので、外部からOSコマンドを実行できるというもの(mixi脆弱性報告制度:評価対象外になったもの — WEB系情報セキュリティ学習メモ)。

mixiは脆弱性報告制度を開始した際、賞金の例として「リモートからWebサーバー上で任意のコードが実行可能」に「100万円」が提示されていたが、今回は「基地の脆弱性である」との判断で報酬の対象外になったという。

また、URLのパラメータを変更することでページ内のプルダウンメニューの項目を非常に大きな数に変更できるという、DoS攻撃を容易にする仕様についても報告したがこちらも「既知」とされてしまったそうだ。ちなみにこの報告者は過去にmixiに対し別の脆弱性を報告し報酬を手に入れているそうだ

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 基地の脆弱性である (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2014年04月17日 20時05分 (#2584184)

    All your vulnerability of base are belong to us.

  • by Xatz (31320) on 2014年04月17日 20時09分 (#2584185) 日記

    少なくとも報告者に対しては「既知の脆弱性である」の一言ではなくて、何時どのように発見されたものなのか(外部からの報告なのか、内部でのテストで見つかったのか、実際の攻撃や誤動作から発覚したものなのか)くらいは一言あるといいかなぁと思います。

    --
    openDoe-Ming Ver.0.72.9beta
  • セキュリティの専門家が「既知だ」というのを根拠もなく100%自分を信じろという表現をすること自体がおかしいと思うんだけど。タイムスタンプの暗号とか色々研究されてるんだし、あとで、ほかの誰かがちゃんと報告済みだということを証明できるようなシステムを取るべきだろうな。
    --
    -- 哀れな日本人専用(sorry Japanese only) --
    • by Anonymous Coward

      最初の一文の日本語がおかしいと思うんだけど。「セキュリティの専門家が」がどこにかかってるかわかりにくいし首尾一貫してなかったりねじれたりしててパース不能

  • 例の「日本人と思われるMasato Kinugawa氏 [l0.cm]」がサイボウズの脆弱性コンテストで優勝してプレゼンされたのを拝聴しましたが、スタート15分で報告したらすでに3番だったとの事。

    • by Anonymous Coward

      高く売れるタイミングを狙って寝かせてある脆弱性が一杯あるんだろうなぁ……XPも

  • by Anonymous Coward on 2014年04月17日 22時15分 (#2584276)

    mixi脆弱性報告制度:評価対象外になったもの [fc2.com]

    また、報告日時が日曜深夜だったので、週末に誰かが(私より先に)同様の脆弱性の報告を上げていたけど、月曜まではmixiさんに認識されていなかった、というようなことだったのかもしれません。(推定ですが)

    いずれにせよ、mixiさんは私の他の脆弱性報告では高額な賞金をルール通りきっちり払ってくれてますので、この件だけ出し惜しみするとは思えないため、「既知」というのが具体的にどういう状況だったのか分からないながらも、正当な判断だったんだろうなと思っています。

    問題の脆弱性が締め切りギリギリに報告されており、
    しかも割とオーソドックスなインジェクション攻撃なので他の人が報告済みの可能性が高いのと、
    この人自体別の報告でAmazonギフトを規定通り10万円分貰ってるようなので、
    今回はmixi側の回答がちょっとまずかった、程度の話で終わりそうですね。

    • by Anonymous Coward

      この件だけ出し惜しみはしてないだろうっていうのは、ナイーブすぎないかな。
      ちゃんと説明していないってことは、予算が尽きて、その時点からすべて既知としている可能性だってあるし。

    • by Anonymous Coward

      Amazonギフト10万か。

      なぜだろう、現金10万よりなんかわくわくする。

  • by Anonymous Coward on 2014年04月17日 20時09分 (#2584186)

    いつ報告があって、重大なのに直さなかったという事実を明らかにしなきゃ。
    ※mixiは重大な脆弱性を直さないって言われかねない話だと思うんだけど………

    mixiにアカウントあるけど使わないからどうでもいい………というかパスワード忘れたw

    • Re:既知って言うなら (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2014年04月17日 20時14分 (#2584187)

      「mixiは、重大な脆弱性を直さないと言われかねないことも正直に報告する、
       信頼の置ける企業です」

      親コメント
      • by Anonymous Coward

        鉄の斧を落としても金の斧どころか元の斧も返ってこない川…

        な~んだmixiはただの川か

    • by Anonymous Coward on 2014年04月17日 20時49分 (#2584212)

      まぁ締切最終日だったんで、時間差で先に誰かに発見されて報告済みだったのかもって感じで報告者の人も解釈してますね

      親コメント
      • by Anonymous Coward on 2014年04月17日 22時58分 (#2584297)

        それなら既知というより「すでに他の人から何月何日何時ごろ報告があったので・・・。現在修正中です」と返答すべきだと思うけどね。
        こんな対応なら探す気も失せるし、報告せずにウェブに流してしまう方がおもしろかったりする。

        親コメント
  • by Anonymous Coward on 2014年04月17日 20時17分 (#2584188)

    あまりにポコポコ発見されてしまったので、報告者1人につき1つは認めてあとは既知にした、とか疑ってしまう。

  • by Anonymous Coward on 2014年04月17日 20時30分 (#2584203)

    「既知の脆弱性」があるのに対策をうたないという運用上の虚弱性を発見した。

    えっそんな虚弱性は既知だって!?

  • by Anonymous Coward on 2014年04月17日 20時59分 (#2584221)
    これがハニーポットというやつか
    • by Anonymous Coward

      善意の報告者を絡めとって根絶やしにしてやる!

  • by Anonymous Coward on 2014年04月17日 21時06分 (#2584228)

    ショッパーズ。

  • by Anonymous Coward on 2014年04月17日 21時49分 (#2584258)

    防御システムとか、あれば教えてください。

  • by Anonymous Coward on 2014年04月17日 21時59分 (#2584266)

    「基地の脆弱性である」って何だ?

  • by Anonymous Coward on 2014年04月17日 23時03分 (#2584298)

    まあこれでspammerにでも売ったほうがマシだと学習したことでしょう。

    • by Anonymous Coward

      元記事も読まずにタイトルだけ読んでコメント投稿するとなんてバカだなぁ

  • by Anonymous Coward on 2014年04月18日 0時48分 (#2584356)

    > 今回は「基地の脆弱性である」との判断で

    たいぽ。

    • by Anonymous Coward

      いや
      基地がダメということは
      基地外な脆弱性ならいいということだろ。

      • by Anonymous Coward

        墓地ならよかったんだよ。

    • by Anonymous Coward

      だってhy

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...