mixi脆弱性報告制度：評価対象外になったもの

WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 mixi脆弱性報告制度で報告した脆弱性のうち、報告したけど評価対象外になったものをまとめます。 報告したけど評価対象外だった脆弱性 1.ショッパーズアイ コードインジェクション 報告日：2014年3月31日 評価結果連絡：2014年4月8日 弊社において既知の脆弱性であると判断、よって脆弱性報告制度の対象外 ※追記：この脆弱性は現在は対応済みです。mixiさんに問い合わせて脆弱性対応済みであることを確認してから記事を公開しました。 ※2014.4.16 23:00 本記事の反響がやたら大きくなってしまったのでコメントを

[koyancya]

「知ってた」「え... あ...」「知　っ　て　た」

[ockeghem]

OSコマンドインジェクションが既知なのに放置していた?…『ちょうど今直そうと思っていたところなのに～』だったのかな

[Sampo]

この出し惜しみによってたぶん報奨金制度は完全に死んだし、節約した100万円を軽く超える損失がこれから待ってる。喜ぶのは某隊長だけ。

[YaSuYuKi]

OS Command Injectionが既知なのに残されていたとは、素晴らしい安全対策水準ですね/検索キーワードからって、一体何をしたらそうなるのだろう……外部コマンドにそのまま渡していた？

[iouri]

既知だけど放置してたってそれはもう脆弱性じゃなくって組織に致命的な欠陥あるだろうと。ついでにもう一度言っとく。「任意のコードが実行可能」な脆弱性の発見報酬が100万円って安すぎ。

[rti7743]

好意的に解釈すると他の人から既に報告が上がってて今修正中ってことかな・・？

[pochi-p]

性善説で考えると「中の人か別の人が先に見つけて対応中だった」のを「既知の脆弱性」と言ってるだけだろうけど、『修正前に複数の報告があった場合、先着n名で山分け』辺りに制度変えないと善意の報告者が激減する

[rryu]

検索キーワードからPerlのコードが実行できてしまう理由も分からないが、既知のまま放置している理由もよくわからない。

[eriotto]

既知の不具合って言葉ってそういう使い方だっけ...？

[sora_h]

(前エントリに対応済みって書いてあった) 放置されてたんかなあ…

[dolmen777]

system()だからC言語で/binだからlinuxなのかな...？賞金出し惜しみ酷いね。system("logger `find /tmp` ");

[mohri]

追記されてからのを読んだのでなんでこんな盛り上がってるんだろうみたいなかんじになった

[ysync]

雑誌の懸賞で当選者でっちあげて出さない奴と一緒か。外から判断できない以上悪く取られても仕方ないね。小銭ケチって会社の評判下げるとか頭悪すぎ。

[nakakzs]

さて、隊長とこんにちはこんにちはの人がどう出てくるか。

[wakuworks]

えええええ

[hitode909]

おもしろい

[a20130517]

既知の脆弱性であると判断、よって脆弱性報告制度の対象外　ワロタ

[teppeis]

報奨金絡むと返答も難しい。

[spherera]

既知のバクならサッサと直せよと。でなければ外部評価で表彰金を出すなと。

[rna]

発生から発見修正までの僅かの期間にたまたま見つけて報告した、とかじゃない限り「既知の脆弱性」じゃ済まされないし、そもそも被害調査の上でユーザーにも告知が必要なレベルの脆弱性では？

[adliblogger]

mixi「当選者の発表は、報酬の支払いをもって代えさせていただきます」

[himomen]

これは100万円払えよ

[l-liroki]

既知の脆弱性…

[katzchang]

渋い

[shohei909]

批判してる人多いけど、脆弱性報告制度に「複数の報告があった場合、最も早く報告をおこなった報告者が、報酬を受け取る権利を有します。」ってちゃんと書いてあるから…。

[yagitoshiro]

逆にどういう実装なんだろう：

[babydaemons]

この脆弱性情報が中国人の手に渡らなくて良かったね。

[hazisarashi]

既存のバグも治ってねぇなら払えばいいのに。

[blueribbon]

「リモートから、ウェブサーバー上で、任意のコードが実行可能」→「弊社において既知の脆弱性のため対象外」（株式会社ミクシィ）

[longroof]

知ってる知ってる(；´Д｀)…だが直すつもりはない…

[Jxck]

「弊社において既知」は報告側は確認のしようがないよなぁ。「こういう結果をもたらすバグは既知ですか？既知じゃなさそうなら教えるけど、前金半額ね。」的な交渉に持ち込めばいいのか？w

[konekonekoneko]

2位じゃダメなんでしょうか？

[tsupo]

「既知の脆弱性」がずっと放置されてるってことか

[toto_san]

セキュリティ責任者過去から今日まで首になるレベル。CTO自ら修正するくらいの事案だと思うけどね。優先順位上げて修正しない時点でもうんこレベル。このクオリティで給与もらえんの？技術レベル下がったな。

[o-cha]

これはひどい。100万円の価値のある危険な脆弱性を指摘したところ、「それもう知ってるから」とリジェクトされた話。

[heroyoukey]

久しぶりにmixiログインしようかな。アカウント削除するために。

[itochan]

「既知」のため報酬対象「外」

[wisboot]

このレベルだと、即サイト閉鎖クラスだろ…／サイトと顧客情報載ったサーバを全世界に公開して、大穴開けた状態で平然と運用とか頭おかしい／まぁこういう脇の甘さがmixiらしいけどw

[faibou]

うげー！なんじゃそりゃ！激おこ案件だぞこれ。