ニュース
JPCERT/CC、連絡のとれない開発者の製品に関する脆弱性情報の公表を開始
従来の原則では公開できなかった脆弱性も公表の対象に
(2015/9/3 17:44)
一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3日、開発者に連絡がとれない製品に関する脆弱性情報の公表を開始した。これらの脆弱性情報は、JPCERT/CCおよび独立行政法人情報処理推進機構(IPA)が共同運営する脆弱性対策情報ポータルサイト“Japan Vulnerability Notes(JVN)”で公開される。
これまでJVNでは、原則として製品の開発者、JPCERT/CC、IPAの三者合意の上で脆弱性情報を公表してきた。しかしこの原則に従うと、製品の開発者に連絡が取れない場合に利用者へ注意喚起と回避策の案内を行うことができず、リスクが放置される懸念があった。
そこで今回JPCERT/CCは方針を転換し、従来の原則では公開できなかった、開発者に連絡がとれない製品に関しても脆弱性情報の公表を行うことにしたようだ。新たに設けられた脆弱性の公開ページでは、現在のところ、掲示板ソフト「BBS X102」とSNS構築ソフト「hitSuji(rktSNS2)」の2製品の脆弱性が公表されている。
なお、脆弱性情報の公開に際しては、JPCERT/CCとIPAの発議で有識者による公表判定委員会が設けられるとのこと。これにより、社会的な影響も考慮しつつ、脆弱性を公表しない場合に利用者が受ける被害と、脆弱性情報の公表により開発者と利用者が被りうる不利益とのバランス調整が図られるという。
URL
- JPCERT コーディネーションセンター
- http://www.jpcert.or.jp/
- 連絡不能開発者の製品に関する脆弱性情報の公表を開始(PDF形式)
- http://www.jpcert.or.jp/press/2015/20150903-vuladj.pdf
- Japan Vulnerability Notes/JP(連絡不能) 一覧
- https://jvn.jp/adj/
最新記事
- 「Unreal Engine 4」製作品のコンテスト“第4回UE4ぷちコン”が作品募集を開始[2015/09/03]
- JPCERT/CC、連絡のとれない開発者の製品に関する脆弱性情報の公表を開始[2015/09/03]
- “CSS Motion Path”が初期状態で有効化された「Google Chrome 46」がベータ版に[2015/09/03]
- 無償ペイントソフト「Pixia」に64bit版が追加[2015/09/02]
- ゲーム向けスクリプトエンジン「NScripter」の旧版にバッファオーバーフローの脆弱性[2015/09/02]
- Google、「Google Chrome 45」の安定版を公開。Flash広告は初期状態で停止する方向へ[2015/09/02]
- マルチブート機能を初めてサポートした「WinToFlash」v1.2.0000が公開[2015/09/02]
- Microsoft、「Windows Management Framework 5.0 Production Preview」を公開[2015/09/01]
- プロフェッショナル向けのフォントツール「Microsoft Visual TrueType」v6.01が公開[2015/09/01]
- 「KbMedia Player」、約3年ぶりの正式版でASIO/WASAPIやリプレイゲインをサポート[2015/09/01]