長期連絡取れない脆弱性含む製品の開発者 - 公開後9カ月経過するも9割弱と音信不通
ソフトウェア脆弱性の届出制度を運営する情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は、製品に脆弱性が見つかったものの、長期にわたり連絡が取れない製品開発者の一覧を更新した。
同制度により脆弱性の届け出を受けたものの、製品開発者と連絡が取れずに調整が滞っているもので、製品利用者に脆弱性の影響が及ぶことが懸念されることから、両者は2011年9月より製品開発者の情報をJVN上で発表し、広く情報提供を呼びかけている。
2012年第1四半期の時点で97件を公表していたが、第2四半期に入って開発者と連絡が取れたのはわずか1件。同四半期はあらたに2件が追加となり、6月22日の時点で98件となった。2011年9月の公表開始以来、累計で111件となっている。
また前四半期に「製品開発者名」を公表した8件については、約3か月経過後も連絡が取れないことから、あらたに脆弱性が含まれる具体的な「製品情報」についても追加した。
同機構によれば、公表開始から約9か月が経過しているが、96件については、いまだに応答がないという。開発者や関係者に対して早急に連絡を取るよう呼びかけている。
(Security NEXT - 2012/06/22 )
ツイート
PR
関連記事
「NetScaler ADC」脆弱性、パッチ公開前から攻撃発生
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「Chrome」にゼロデイ脆弱性、アップデート公開 - 軽減策の実施も
特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開
「MS Edge」にアップデート - 固有の脆弱性などにも対処
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
「Kibana」に深刻な脆弱性 - 「Chromium」の既知脆弱性に起因
「IBM i」のFAX機能に権限昇格の脆弱性 - 修正パッチを提供