僕だってJPCERT/CCからメールもらったもん
「DSAS開発者の部屋:JPCERT/CCとの「脆弱性情報ハンドリング」の記録」について、
「高木浩光@自宅の日記 - 脆弱性情報公表の自由 ~ コントロールを取り戻せ」で
高木先生が注目したのが、
公表日以降も機密として扱わなければならない、と先方から説明を受けました。
ってのがありましたけど、
「JPCERT/CCから脆弱性情報キター」と
「httpd.pl/0.1-beta10 及びそれ以前の版に複数の脆弱性があります」で
報告した件
(なぜか高木先生のとこにもスクリーンショットがある:
高木浩光@自宅の日記 - ジャストシステムはどこへ向かっているのか;
封印したい黒歴史とかじゃないんで、使いやすいSSとしてどんどん使っていただきたい)では
そんな説明はなかったと記憶しています
(修正版の取り扱いは慎重に
も)。
つか、公表日以前に公表してはならないという文言もなかったので、
連絡を受けた翌日に修正版を出しておきました。
だいたいの流れは田辺さんのとこと同じなんですけど、 直接会いたいという話はなかったです。 こちらが個人で住所がどこだかわからないし、 プログラムも広く使われるものではないからかな。
機密事項の暗号化ですが、PGPと暗号化ZIPのどちらがいいかと聞かれて、 その場に秘密鍵を持ってきてなかったのと、 httpd.plのことだから暗号化するまでもないだろうと判断して、 暗号化ZIPにしてもらいました。 最初の暗号化ZIPに、脆弱性の詳細と今後の予定について書いてありました。 「脆弱性情報の開示 (JPCERT/CC->開発者)」と同じです。 テンプレートがあるんだろうな。
そいで、とりあえず直してみたらあっさり直ったので公開。 公表日を決めてくれとメールしました。 この時点で「早くて1週間後」とのこと。 ただし修正版が出てるなら勝手に公表してもいいよと。 せっかくだから待っていたところ、最終的には24日後に無事公表となりました。
Atom Feed