LZH(LHA)形式に関して、ウィルス対策ソフトベンダーやセキュリティ情報を統括する IPA/JVN のあまりに無関心で非協力的な態度に業を煮やしたMiccoさんの「LZH(LHA)形式の使用中止の呼びかけ」が波紋を広げているようだ。
まぁ、私は関係ない「部外者」らしいので :-) 高みの見物を決め込もうかとも思っているが(w
それにしても、好意的な反応をする人もいるが、総じて IPA 側かその近くにいると思われる人の恣意的で自己弁護的な論調には、思わず笑ってしまう。わからんのかねぇ、あなた方のそういう態度こそMiccoさんを怒られ呆れさせた元凶だということが。
やはり、こういうのも制度疲弊と云うのだろうなぁ、と思う。
特にこの人はひどい。
http://twitter.com/hasegawayosuke/status/15614339358
UnLHAがIPAで不受理だという件、http://bit.ly/dcnPnQ を見る限り制度の理解不足による誤解でしかない。
http://twitter.com/hasegawayosuke/status/15614795535
そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので不受理
http://twitter.com/hasegawayosuke/status/15614841340
CVE番号欲しいなら英語でbugtraqにでも投げればいい。
そもそもあなたたちは何のためにリストを作り、日本語で公開しているの?
日本のユーザを危険から守るための情報を提供するのが目的でしょ?
だったら形式がどうの、制度にマッチしないだのってお役所根性丸出しな事言ってないで、有用な情報が提供されたのなら、それを活かす努力をすべきではないのかい?
まして「CVE番号欲しいなら」って、もうバカとしか言いようがないね。誰がそんなものを欲しがってる?
日本語も読めないのか。ま、英語は得意なんでしょうけど:-(
Miccoさんを代弁するのではないが、最大の問題は
ここで
複数のアンチウィルス製品には、圧縮アーカイブの処理に脆弱性が存在します。
と包括的に表現しているにも関わらず、実際は CAB と 7z のみ(強いて加えれば ZIP?)だけを対象としている(らしい)点だ。繰り返すが、対象形式は明記されていない。
にも関わらず、まったく同様の危険性のある LZH 形式に対して問題のあるベンダーが「該当なし」と報告している点も問題だ。
その点を指摘したMiccoさんに対し、明確な理由の説明もなく、単に却下してしまった IPA/JVN をMiccoさんは問題にしているのである。
正確を期するために、Miccoさんの文章を引用しておく(私の独断で改行を入れ箇条書き化してます)。
- ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」
- JVN / IPA については「『ZIP, CAB, 7z 書庫など, 脆弱性情報として公開されている同様のケース (上記:JVNVU#545953) と何が異なるのか?』といった質問に対して未回答だった
- 3年半前の不受理の理由:「それは脆弱性ではなく, ソフトの機能・性能の問題」
- 今回の不受理の理由:未回答
で、その後・・・これだけ問題が大きくなったためか、JVN からMiccoさんに接触(?)があり、上記:JVNVU#545953への追加情報として扱う形に落ち着くようだ。
でもね、JVNVU#545953って参考情報では、ZIP, CAB, GZIP, 7Z and RAR形式だけが、関連CVEでは CAB と 7z のみが記載されているわけで・・・具体的にJVNVU#545953がどのように修正されるのか注目していかなければ。