2004-07-20 [長年日記]

1 [Vuln] mod_ssl contains a format string vulnerability in the ssl_log() function

II. Impact
A remote, unauthenticated attacker could potentially execute
arbitrary code on an affected system.

なので、新しい2.8.19-1.3.31がリリースしているのであげる。

最近あまり扱っていなかったのは情報を集めていなかったという理由があるのですが、やっぱり自分も薄く調べようかな。しかし、やるにしてももう少し準備が必要。

2 書き殴り

「脆弱性関連情報取り扱い説明会」に行ってきた。講演1が全体像など諸々がとらえやすかった。細かい部分はメディアや各地回った後にきっと資料は公開されると思うし、、特に公開されている情報以上に濃い話はなかったように思う。JPCERT/CCからの話は脆弱性情報ハンドリングワークショップに近い話が多かったかな。

とりあえず、うまく回っていけばいいんじゃないかなぁと思った。企業が進んでhttp://www.jpcert.or.jp/form/poc.txtに登録したくなったら一つの山をクリアなんじゃないかしら。

NISCCはナイシーと読むんだと知る。

現在IPAは10件の情報を処理しているということだ。発見者がいないと成り立たない仕組みだと思ったけど、開始してこの段階で10件というのはちょっと驚きだった。脆弱性を受付時間24時間だけど、見るのはIPAの営業時間らしい(^^;

製品開発者向けガイドラインをJEITA,JISAで、窓口担当者向けマニュアルをJPCERT/CCで作っていて7月中旬に発表予定らしい。24時間程度で返信できる体制が望ましいようなことがあった気がした。

脆弱性情報ハンドリングワークショップの時もだけど質疑でSIerから、SIerも脆弱性の情報を早く欲しいと質問が。回答としては検討中と言っていたけれど、脆弱性情報秘匿の観点や特定SIerだけというのも仕切りが難しいと思うなぁ。どのような解を出すのか楽しみではある。

最後の質問で、政府系機関から脆弱性が公開されたら問い合わせが多くあるけど、それは一本化されるのか?と笑いもとる質問があり、司会が最後に相応しい質問と言うもんだから、更に笑いが(^^;

脆弱性の発見・研究が日本が今のところ劣っているといったような話がでたと思うけど、それには理由があると思うなぁ。なんだろ日本の現段階の風潮や仕組みとかかなぁ。感覚的には脆弱性を発見して告知することの意義やモチベーションみたいなものが見いだしにくいとかかしら。そもそも脆弱性の発見と告知がリスキーに思えてしまったりとかもあるだろうし。扱いが難しいから、逆にそれやっても儲けに繋がる?とかも要因なのかな。企業で脆弱性の発見と告知をしてる純日本企業って少ないしなぁ。とりあえずその手の発見・研究が育ちにくい取り扱いにくい風土なんじゃないかな。そんな風土を変えるにはNISCCみたいな仕組みを国で取り組むのも手だとは思うな。

3 ソフトイーサのハムスター

は反則だと思った。

http://www.softether.com/jp/ham/

4 Wiki

なにげに

http://wiki.apache.org/general

なんてあるんだ。

5 K-1

韓国でやったK-1の放映はとにかくつまらないことづくしだったワケだ。曙の試合を見たい!見たい!なんて奇特な格闘技ファンは少ないと思うのだが。大晦日の視聴率がK-1を狂わしちゃったよな。どういう試合を見せてきたからファンを獲得できてきたのかもう一度立ち返って欲しいなぁ。
http://type99.gozaru.jp/2004/07/fight-k-1-gpin.html
http://www.isnn.net/3348/x.html
hard で loxse な 日々より。

本日のツッコミ(全6件) [ツッコミを入れる]
# tessy (2004-07-21 02:45)

いらっしゃったんですか。>説明会 気づきませんでしたorz やっぱ企業では「儲けに繋がる?」が一番ネックかと。興味ある分野ですけど...

# けん (2004-07-21 10:06)

いらしたのかー。直接話したことがない方は数名お見受けしたのですけど、
人数が多かったですからねぇ(^^;

しかし、興味がある人は多いと思うんですけどね。
経営者で興味を持つような人が少ないんでしょうね(^^;

# m_sudo (2004-07-22 03:01)

ごぶさたしてます。説明会、いらしてたとは気づかず失礼しました(汗。個人的には社内調整(含む経営者)がポイントになるような気がしています。品質管理部門との連携も含め、うまく回っている例があればいいのですが...。

# けん (2004-07-22 13:03)

遭遇できませんでしたね(^^;

中小企業と大企業などにおける具体的事例などがアピールできてくるといいんですかね。

あとは当日話にもでていた気がしますが、jvn.jpで公開されることで、
脆弱性に対して真摯に取り組んでいる姿勢が広く一般に評価されるような、
仕組みになっていくとよいんですけどね。

NISCCからTCPの脆弱性など日本の企業への情報伝達できてよかったような話が出てましたが、
今回のプレゼンの内容だと脆弱性ハンドリングを行ったJPCERT/CC等が評価されたとかなので、
今回の聞き手の対象が企業なのだから、むしろ
http://www.uniras.gov.uk/vuls/2004/236929/
のVendor Informationのように列挙され、脆弱性に取り組み対応したことが、
素晴らしい事なんだって、NISCCの人じゃなくともJPCERT/CCの人が言ってくれたら、
よかったのになとか思ったりしてました(^^;

情報がでてきてませんがJPCERT/CCに登録している企業はまだまだ少ないのかなぁ。

# m_sudo (2004-07-23 09:18)

この仕組みですが、脆弱性に対応することで「こんなにイイコトがあるんだよ」というベンダー側へのモチベーション付けと、脆弱性を指摘する側へのモチベーション付け(今のところは謝辞、という形ですかね)がもうちょっと強力ならばいいのに、と感じています。じゃあいいアイデアがあるかというと、なかなか思いつかないのですが(汗

# けん (2004-07-24 13:04)

製品開発者向けガイドラインや、窓口担当者向けマニュアルの作成をしていますが、
この脆弱性情報ハンドリングがまわり始めたら、折角なので発見者側でのガイドライン
のようなもの作成して欲しいなぁと思いました。

どのような考えで発見者のこと考え取り扱うのかが具体的になって、
発見者側として報告するしないの判断がしやすくなると思うんですよね。
見つけても報告するしないの判断は発見者だし、発見者がいなければなりたたない取り組みですし。

動き出せば、今回の取り組みの中の方々の視点も実際の進捗や内容から、
問題点を見つけやすくなると思うので、中の方々もモチベーション下げずに、
がんばって欲しいなぁと思ったりします。

[]