■IPAへの報告顛末

IPAへの報告その１

5/30の日記で脆弱性ではなかろうと思い割合と詳細に書いた事象なのですけれどもえむけいさん御教示のヒントにより脆弱性であることがわかりました。重ねてえむけいさんにお礼を申し上げます。なお、該当する部分の日記やコメントでは思い当たるふしがでないように主要部分を一時的に隠蔽させて頂きました。もうしわけございませんが、よろしくお願い申し上げます。

IPAへの報告は6/1午前２時ごろ終わっております。【IPA#78402346】 受信（未受理）です。6/2受理されました。6/8取り扱い開始となっております。

IPAへの報告その２

別途平行して某ブラウザのほとんど無害な脆弱性についてもあわせて本日たった今報告をしおえております。【IPA#74969119】 受信（未受理）です。

その他の報告

1. 【IPA#63451350】 受理(解決待ち、時間がかかりそう)
2. 【IPA#A618022F】 不受理
3. 【IPA#48166303】 取扱い終了

【IPA#48166303】と【IPA#A618022F】とはペアで報告したものです。【IPA#48166303】は某ブラウザのSSL通信における満足できない事象があり、報告したものの結果的には強引な脆弱性報告となってしまったものでした。IPAさんやベンダさんにはご苦労をおかけしてしまいました。ですがベンダさん窓口からは解決への提案を開発チームに提案して頂けるというお言葉を頂きました。【IPA#A618022F】は、【IPA#48166303】が満足できない水準であると私が思っていますので、そのことを意識していないWebサイト作りなのではという疑問を発したものです。こちらは脆弱性に該当しないという判断が下され不受理となりました。ですがなんらかの対処はして頂けるということを伺いましたので待っているところです。【IPA#48166303】も【IPA#A618022F】もウイルスやらワームやらなんらかのアタックなどの直接的な脅威はありませんので誰にも迷惑はかかりませんし日記に書いても良いフェーズなのです。しかし考えるところがありちょっと時期をみています。

【IPA#63451350】は受理されたものの、かなり根っこに近い部分での修正が必要な為影響度合いがはかりしれなく総合的かつ時間をかけた検証が必要な為に修正パッチはすぐには出ません。私見ですが未処置のままでも脆弱性のせいで被害にあうような人はまずいないことでしょう。恐らく変な現象を体験するのは私ぐらいなものでしょう。脆弱性かどうかギリギリのところですが立派な不具合であることは間違いありません。また緊急性が必要なものではありません。

というわけでおとといまで報告したのはほとんどスカみたいなものでして。各所に御迷惑をおかけしております。