[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02861] how and where to report possible security holes/bugs?
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02861] how and where to report possible security holes/bugs?
- From: Kenji Yamamoto <yamaken@xxxxxxxxxx>
- Date: Sun, 30 Mar 2003 19:42:42 +0900
山本です。
オペレーションを通常通りサーバ及びクライアント上で実施し、あるい
は業務上のペネトレーションを実施した際に発見した問題のレポートは、
皆様通常どのような流れでおこなっていらっしゃいますか?
私の場合、MS については先方の公式及び非公式ルートで問題について
ざっくり検証した後に流してます。(US/JP 共)
大まかには:
1) 自分の環境で検証を行い、サマリを纏めて、とある場所に「投稿」
あるいは担当の方への「私信」でレポート。
2) 投稿の場合には他の人(大体ヨーロッパとか英語圏なのですが。)に
も Repro するのかどうか確認してもらう。私信の場合はレポートした
人(大体 US かな。)に、確認。
3) MS の方に確認(Confirm)してもらったら、あとはとりあえず待ち。
知り合いに出したのなら、「アレどうなってますか」と、別件の話でメー
ルする折にでもかるくジャブを入れる。 ;-)
# 日本のほうにはあんまり投げてないからよくわかんないですが。
4) せっつく場合: 窓口通す。 JP ではあんまりおおっぴらにやったこ
とがありませんが、MSRC(US) 相手には行ったことがあります。
…といった感じの流れです。
下手にプレッシャーかけると、中身とインパクトによっては脅迫とも取
られかねないし、でも「多分、これ公開されて、Exploit 出回ったら。
不特定多数のカスタマがヤラレることになるから急いでね」とニュアン
ス伝えるのがちょっと難しいですね。毎回悩みます。
と、こちらはまぁ、他のユーザに確認してもらうことも含めて流れ的に
は、本当におーまか、ではありますが、感覚がつかめてきたからよいで
すが、他のメーカの場合はちょっとどのような流れで問題の報告を実施
すればよいのかわからないので、なにか定型なやり方があればとおもい、
質問した次第です。
# フランス語、しばらく使ってなかったらすっかり錆付いた…(汗)
# 日常生活や会話で使っていかないと自然言語って忘れますね…
以上
山本謙次 [MVP]
--
JWNTUG Security & IIS ML http://www.jwntug.or.jp/index-j.html
Kenji Yamamoto, Microsoft MVP (Security), MCP+I, MCSE (TCP/IP, IIS4, IEAK4)
What's MVP? See: http://mvp.support.microsoft.com/
mailto:routing@xxxxxxxxxxxxxxx