2014年7月23日水曜日

S2Strutsの脆弱性対応が見えない不気味

先週のお話ですが、
JVNがS2Strutsの脆弱性を発表しました。

これはすぐに対応を検討するべきであり、
S2Strutsを導入しているWebサービスはてんてこ舞いになることでしょう。
(いや、アップデートが出た直後に対応済みで肩赤な話題かもしれません。)

しかし思いっきりその影響下にあるはずの某SIerが、
何の動きも見せていないのです。

おかしい…多数の顧客を抱えているはずですし、
末端でも何かしら動きを感じられると思ったのですが…
(自分はちゃんと報告は上げました。SIerに届く前に握りつぶされていますけど。)

もしかして、
脆弱性が発見されたこと自体気がついていない?

う~ん、
それで問題が起きたらどう責任を取る気なのでしょう?

というか、
Googleで検索しても対応したって話があんまり出てないんですが…

もうS2Strutsを使っているサービスが絶滅しかけているのか、
使っている会社が総じて鈍感なのか…

もしも鈍感であるならば、
こういうWebサービスの脆弱性を一斉に突くことで、
簡単に日本に対してサイバーテロが成立するのではないでしょうか?

…日本語という言語の壁は未だ有効、
ということだと信じましょう。

でもペネトレイトテストしちゃったって人は、
どんどんIPAに届け出をだして改善していきましょう。

それでもダメなら…いつか来るXデーに自分だけは被害が無いようにしておきましょう。

(国内のWebサービスで"~.do"のURLを含んだり、
URLが意味もなく複雑だったり、
HTMLに修正履歴のコメントがあったり、
SIerのパッケージを導入したってところは危険な可能性が…巨レ存?)

0 件のコメント:

コメントを投稿