IPA に 脆弱性報告でリジェクト食らった後、受理された話
10月に某ソフトの脆弱性をIPA に報告しました
すると、11月上旬になって
IPA「脆弱性とはいえないとの判断に至ったため、取扱いを終了させていただ
こうと考えております」
という返事が・・・ DMMのときもそうだったのですが、さすがに「ないわ!」と思ったので
\異議あり!/
( ‘ω’)っ
と、具体的な可能な攻撃方法について説明したメールを出しました
1か月かかって
IPA「再度検討を実施し、脆弱性関連情報として受理いたしました」
となったので、諦めたらだめなのですね (((・ω・)))
受理されなかったら、細かい事ブログネタにして、(そのソフトメーカーを)フルボッコにしようと思ってたのですが、受理されたので、脆弱性が修正されて、公開されてから、後日談としてネタにする予定です。
国産アーカイブ LHA(拡張子.LZH)の脆弱性が非受理だった理由の個人的見解
LHA も、脆弱性についての説明のアプローチが違っていれば受理されたのかな(((・ω・)))?
Translate
毎回、報告されてるのを見ると感心します。報告する側が、アプローチの方法等を考慮しなきゃいけないのがいかがなものかなという気もしますが、脆弱性そのものが難しいから仕方ないのかとも思いますが善意を無駄にしない為にも改善してほしいところですね。