■お尋ねいたします。皆様。問い合わせの方法についてです。

ちょっとお知恵を御貸しください。

Apacheの1.3.29あたりで、あるbaseなmod_ほげほげに不具合があることを見つけています。おそらく多くのサーバではインストール時点では活性化していないmodですが.htaccessの簡単な設定でスグに使えるようになっているものと想像してください。不具合は受動的攻撃系です。リモートからサーバへの直接的な攻撃は不可能と思われます。私は一台のサーバでそのことを確認し、海外の（セキュリティーでメシを食っている人ですが）文通仲間にも見てもらい確認をしてもらいました。国内でも見てもらい不具合の本質がくだんのmodであることを確認してもらいました。

ですが、そのmodの作者がわからないのです。各MLや情報系サイトなど検索エンジンで探しまわりましたが特定の個人が浮かび上がりません。『オープンソースだからしょうがないよねぇ』と海外のセキュリティー屋さんに言われました。過去にそのmodでは修正履歴があがっていないようなのです。

まだるっこしい表現で恐縮ですが、上のような状況です。危険度はミニマムローかもしれません。お尋ねしたいのは、世界中にいらっしゃるApacheの開発をしている人達のいったいどこに連絡をすれないいのか、ということです。とりあえずの連絡先はどちらでしょう？Apache関連のサイトでそれらしき窓口なりフォームなりを探しましたが、いきなり投稿したものが表示されそうでちょっとだけこわかったりします。またメールアドレスが生きているものなのかも不安を感じました。

相談した海外の人は「いきなりBUGTRAQだと駄目なの？」と言いますが、私はたった一台のサーバで確認しただけですし、だいたい正しい使い方をしているかどうかも怪しいものです。ただ、あちこちに置いてある使い方のテキストからみようみまねで「これなら普通の使い方だろうなぁ」というような感じです。このような状況ですから、開発していて、あるいは保守していて中身がわかる人にお知らせしたい、そのように考えています。

雲をつかむようなあやふやな表現で申し訳ありませんが、どうかお知恵を御貸し願えればと思います。よろしくお願い申し上げます。star_dust@mail.goo.ne.jpもしくはコメント欄にてお願いいたします。

追記（4/16 17:12)

security@apache.orgに投げました。

IPAのセキュリティー専用フォームから上記メールのコピーをポストしてみました。

影響度合いは低いと思いますので超気長に待つことが出来ます。id:awacsさん、本当にありがとうございます。タイミング良く援助して頂けて心強かったです。