EC-CUBE脆弱性 公開中止関連反響まとめ

後からこの件について知りたくなった方のために反響・関連発言をまとめました。 (発言をまとめただけで特に結論的なものはありません。)
13

前編の公開~中止まで

g_sato @secmemoblog

寝落ちしつつ書きました / EC-CUBEで発見した脆弱性の詳細 前編 securitymemo.blogspot.jp/2016/08/ec-cub…

2016-08-18 05:12:50
g_sato @secmemoblog

記事の末尾に追記したような事情により、後編の公開を中止いたします。 securitymemo.blogspot.jp/2016/08/ec-cub…

2016-08-18 22:15:45

EC-CUBE開発者の方々との会話

のぶ @redsnow_

@secmemoblog あれまぁ・・まぁまだ実稼働してるサイト多そうですしね。。

2016-08-19 15:12:07
g_sato @secmemoblog

@redsnow_ レスありがとうございます。やはりパッチ率はまだ低い感じなんですかね…

2016-08-19 17:38:18
のぶ @redsnow_

@secmemoblog 脆弱性があるからパッチ当てましょうといってもお金払ってくれる人はなかなかいないですね…

2016-08-19 20:08:43
g_sato @secmemoblog

@redsnow_ うーん、やはりどこもそんな感じなんですね… 情報ありがとうございます。

2016-08-19 20:11:23
Tao Sasaki @tao_s

@secmemoblog ずいぶん古いのばかりだから良いと思いますけどね...

2016-08-21 00:39:43
g_sato @secmemoblog

@tao_s レスありがとうございます。公開中止にはしましたが、私も公開したほうがEC-CUBE関係者にメリットがあるという立場は変えてないので、ロックオン社が意見を変えてくれればと思っています。(ロックオン社に情報公開のメリットを説明し、再検討を希望するメールも出しました。)

2016-08-21 02:03:00
Tao Sasaki @tao_s

@secmemoblog 今度ロックオンの社長さんと打ち合わせするんで、ちょっと話してみますね

2016-08-21 02:13:32
g_sato @secmemoblog

@tao_s おお、ありがとうございます! よろしくお願いします。

2016-08-21 02:24:20

他、技術者・セキュリティクラスタの方々のつぶやき

にーまる。 @typex20

EC-CUBEという会社は脆弱性の指摘を受けたのにもかかわらず、セキュリティ意識の低さは改善されなかったんだなぁ。残念。。 / “WEB系情報セキュリティ学習メモ: EC-CUBEで発見した脆弱性の詳細 前編” htn.to/2HN8Y9

2016-08-19 08:46:57
淡路島離脱エンジニア @marunowork

EC-CUBEで発見した脆弱性の詳細 前編 securitymemo.blogspot.jp/2016/08/ec-cub… タダでEC-CUBEを使うくせに、開発元の意向を無視してパッチなど当てずにそのまま使い続けて、いざ業務に損害が出ればWeb製作側に責任を転嫁しようとするアホなクライアントを何とかしてくれ。

2016-08-21 08:59:07
g_sato @secmemoblog

脆弱性の攻撃方法が公開されていると、 ・開発者がその脆弱性について自発的に気を配るようになる ・脆弱性診断業者がその脆弱性がないか診断できる ・WAFが攻撃に対応できたりする 攻撃方法を秘密にしていると上記が起こらないが、脆弱性対策しない人を守れる(攻撃方法が割り出されなければ)

2016-08-21 05:28:08
g_sato @secmemoblog

この件、脆弱性対応にお金が出ない云々の話もあるので「実際問題、公開は困る」という立場があるのも分かるのですが、「みんなが脆弱性の詳細と危険性を把握しているせいで勝手にセキュアになっていく」という形はOSSとしてあるべき形であり、かなり望ましいものなのでは? とも思うわけで。

2016-08-22 23:58:54
mage(まげ) @mage_1868

脆弱性を悪用しようとする人間は攻撃を成功させれば利益を得られるメソッドを持ってると思うので、patchからでも頑張って脆弱性を推測してpayloadを作ると思うんですよ(なのでディスクロージャーはむしろメリットが少ないと思います)

2016-08-23 00:13:20
mage(まげ) @mage_1868

何が言いたいかと言うと、securitymemo.blogspot.jp/2016/08/ec-cub… の後半すごく楽しみにしてたので悲しい

2016-08-23 00:15:53
ななおく @ooooooo_q

何年か前に、ec-cubeのRCEの箇所をコミット遡ってコミットメッセージで見当つけたことはあるので、OSSとしてのコミットログを綺麗なままにしようとするとまあ辛い感じはしますね。

2016-08-23 12:27:44
kusanoさん@がんばらない @kusano_k

EC-CUBEが脆弱性情報を公開しないように申し入れた件、それならこのパッチの当て方を消さないと、ここから簡単に脆弱性の攻撃方法が分かってしまう……と思ったけど、分からないな。もしかして、直し方に気を使っていたりするのだろうか。 ec-cube.net/info/weakness/…

2016-08-24 02:10:50
g_sato @secmemoblog

.@kusano_k この修正箇所については開発者コミュニティでエヴァンジェリストな方が「修正内容から脆弱性の内容を特定しにくいように、意図的にわかりにくくしている」と言ってたりします。(修正コード見ての単なる感想かもしれませんが) xoops.ec-cube.net/modules/newbb/…

2016-08-24 12:43:32
kusanoさん@がんばらない @kusano_k

@secmemoblog やはりそういう意図はあったんですかね。こういう発言を見ると、どこかのタイミングでオープンにして、リファクタリングすることは必要そうな気がしますね……。 xoops.ec-cube.net/modules/newbb/…

2016-08-24 13:10:30
yousukezan @yousukezan

わりと前に修正を見て5つくらい再現させてみたことがあったけどわりとすぐに攻撃できた気がした。 twitter.com/secmemoblog/st…

2016-08-24 12:56:21

関連情報