IPA の連絡不能開発者一覧に WordPress

151 views
Skip to first unread message

ゆりこ

unread,
Sep 29, 2011, 5:38:34 AM9/29/11
to WordPress 日本語版作成チーム
本日、IPA および JPCERT/CC が、情報セキュリティ早期警戒パートナーシップに基づいて届けられたソフトウェア製品について連絡不能開発
者の一覧を公開しました。

http://jvn.jp/reply/
その中に2件 WordPress がリストされています。

DID#69354011
DID#92254977

現在の WordPress ですと日本語チームに連絡を取ればいいので「連絡不能」ということはないため、ひょっとすると WordPress
ME に関するものかもしれません。

どのバージョンの WordPress に関するものか不明ですので、WordPress 日本語チームとして連絡を取り、
内容を精査の上、本家への通知もしくは、すでに解決済であればその旨回答するなどの対応が必要と思います。

wpja.team...@gmail.com

とかのメールアドレスを作って、このアドレスから IPA に発信したいと思いますが、以下の Gmail の設定をお願いできますでしょうか?
※単なる wpja.team@gmail だと、Subjectが「日本語リソース」でないと破棄されるため別アドレスの設定が必要です。

* 送信元アドレスとして wpja.team...@gmail.com を作る
* wpja.team...@gmail.com あてのメールは Subject フィルタの対象外にする
* wpja.team...@gmail.com あてのメールの転送先に yurik...@yuriko.net を追加

Naoko McCracken

unread,
Sep 29, 2011, 7:47:18 PM9/29/11
to wp-j...@googlegroups.com
このリストって何なんでしょう。なんか色々コメントついていますね…
http://b.hatena.ne.jp/entry/jvn.jp/reply/index.html

http:///ja.wordpress.com/contact/
もありますし、
secu...@wordpress.com
(英語での報告用、http://wpdocs.sourceforge.jp/FAQ/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3
にも書いています)

を公開してるんですけどねえ。
まあとりあえず j...@jvn.jp に報告しておきます。

--
Nao


2011/9/29 ゆりこ <yurik...@yuriko.net>:

> --
> WordPress 日本語版作成チーム
> http://groups.google.com/group/wp-ja-pkg?hl=ja
> http://ja.wordpress.org/about-wp-ja/
>

ゆりこ

unread,
Sep 30, 2011, 2:12:59 AM9/30/11
to WordPress 日本語版作成チーム
> このリストって何なんでしょう。なんか色々コメントついていますね…http://b.hatena.ne.jp/entry/jvn.jp/reply/index.html

しょせんハテブなので「よく分かってない人がコメント」している気がしますね……。

現行の WordPress ならば、ちょっと調べれば連絡先がすぐ分かるはずなので、
以前の WordPress ME に関する届出とも考えられます。
もしくは、WordPress のあるプラグインに関するもので、そのプラグイン作者と連絡が取れない可能性もあります。
("WordPress Whatever plugin" という名前のプラグインとかだったら、あり得そう)

ちなみに、わたしも Mobile Eye+ に関する脆弱性を届出していて、作者と連絡が取れないからこのリストに載せると回答が来ています。
でも問い合わせ番号は DID#12397986 なので、今回の WordPress 2 件とは違いますね。

JVN への連絡は Nao さんがやりますか?
懸念事項は、セキュリティーに関することなので、JVN からの開示内容を、この Google Groups に書けないことです。
(ここは公開されている場所ですが、脆弱性の情報は機密にしなければならないため)

ということで、コードの分かる tenpura さん、三好さん、わたしが対応した方がいいのかなという気がしていますが、いかがでしょう?

Naoko McCracken

unread,
Sep 30, 2011, 3:01:52 AM9/30/11
to wp-j...@googlegroups.com
> 現行の WordPress ならば、ちょっと調べれば連絡先がすぐ分かるはずなので、
> 以前の WordPress ME に関する届出とも考えられます。
> もしくは、WordPress のあるプラグインに関するもので、そのプラグイン作者と連絡が取れない可能性もあります。
> ("WordPress Whatever plugin" という名前のプラグインとかだったら、あり得そう)
>
> ちなみに、わたしも Mobile Eye+ に関する脆弱性を届出していて、作者と連絡が取れないからこのリストに載せると回答が来ています。

その可能性はありそうですが、しかしプラグイン提供者= WordPress ではない、
ということくらいは周知されているのかと思ってましたが違ったんでしょうかねえ。
また、wpja...@gmail.com へのメールをスパムフォルダも含めチェックしてみましたが、
IPA や JVN 出検索しても該当するお問い合わせは今のところありませんでした。

> ※単なる wpja.team@gmail だと、Subjectが「日本語リソース」でないと破棄されるため別アドレスの設定が必要です

日本語リソースで弾いていたのはお問い合わせフォームを作る前だったと思いますが、
まだこのような表記がどこかにあるようだったら「http://ja.wordpress.org/contact/ から
お問い合わせください」と修正しますのでその箇所をお知らせ下さい。

セキュリティ関連の報告は今のところ同フォームに送ってもらうように表示してあり
http://wpdocs.sourceforge.jp/FAQ/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3

フォームに宛てられたメールは Tai さん、tenpura さん、私が目を通しています。

> JVN への連絡は Nao さんがやりますか?

すいません、先ほどここに返信したあと、wpja...@gmail.com から以下を送信してました。

==========================================
IPA ご担当者様

連絡不能開発者一覧(http://jvn.jp/reply/index.html)につきましてご連絡させていただいております。
連絡不能開発者一覧に掲載されているのは、http://ja.wordpress.org/ からダウンロードできる WordPress
ソフトウェアに間違いないでしょうか。

WordPerss では、以下の連絡先を用意しております。

http:///ja.wordpress.com/contact/ (WordPress 日本語サイト作成チーム)
secu...@wordpress.com(英語での報告用、http://wordpress.org/about/contact 及び
http://wpdocs.sourceforge.jp/FAQ/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3
に掲載)

よろしくお願いします。
==========================================

tenpura さんも転送を受け取ってくださっているアドレスですのでまずは
読んでいただいて、必要であればその他の方へプライベートメールで
声をかけさせてもらえればと思います。

いずれにせよ何か公開できる動きがありましたら、こちらでも報告します。

よろしくお願いします。

--
Nao

ゆりこ

unread,
Sep 30, 2011, 3:36:56 AM9/30/11
to WordPress 日本語版作成チーム

> その可能性はありそうですが、しかしプラグイン提供者= WordPress ではない、
> ということくらいは周知されているのかと思ってましたが違ったんでしょうかねえ。

IPA が WordPress のことを詳しく知ってない可能性もありますが、届出者が勘違いしていると、IPA もつられてしまうおそれがありま
す。
「WordPress Whatever」という名前のプラグインを WordPress 本体と勘違いして届出があった場合、
プラグインの README にある連絡先に問い合わせたものの返事がなく、
結果として「WordPress 本体の脆弱性」と勘違いして掲載されたとかのオチだったり。

> まだこのような表記がどこかにあるようだったら「http://ja.wordpress.org/contact/から
> お問い合わせください」と修正しますのでその箇所をお知らせ下さい。

http://ja.wordpress.org/about-wp-ja/
の中ほどにある「連絡先」に残っています。ここは問い合わせフォームへのリンクにするといいと思います。

> tenpura さんも転送を受け取ってくださっているアドレスですのでまずは
> 読んでいただいて、必要であればその他の方へプライベートメールで
> 声をかけさせてもらえればと思います。

であれば安心です。すばやい対応ありがとうございます。
まずは、対象となっている「WordPress」が何物だったか、を教えてもらえると助かります。
あと、届出内容はここには書けませんから、「どういう対応を取るか」ぐらいの報告で構いません。

Naoko McCracken

unread,
Dec 12, 2011, 10:24:44 PM12/12/11
to wp-j...@googlegroups.com
この件について回答がやっときました。

かいつまんで言うと、WordPress 本家(Ryan Boren / secu...@wordpress.org)に
連絡をしているが返事がないということですので、私のほうで再度確認してみます。

金曜に http://jvn.jp/reply/ のリストを更新するそうです。
このタイミングでの返事なので、それには間に合わないかもしれませんがまあ
それは仕方ないので、進めていくとします。

# 連絡先が表記が古かった http://ja.wordpress.org/about-wp-ja/
# については連絡先をお問い合わせフォームに更新しています。

--
Nao


2011/9/30 ゆりこ <yurik...@yuriko.net>:

Naoko McCracken

unread,
Jan 3, 2012, 9:43:27 PM1/3/12
to wp-j...@googlegroups.com
こちらの件ですが、Twitter の言及で気づいたんですが公開されていたようです。
http://jvn.jp/jp/JVN40498018/

メールで公開文の確認を依頼されたのですが、それに返事をして以来 JVN からの直接の返信・報告は
ありませんでした。

■ 経緯について
tenpura さんにチェックをして頂きましたが、一件は4年前にすでに修正されているバグ、もう一件は
過去のデフォルトテーマのバグ(こちらも修正済み、現在のテーマには無いバグ)で、2008年くらい
から何度も本家にメールを送り続けていたようです。

Ryan、Otto からはこちらから secu...@wordpress.org へメールしたらすぐに(半日以内)返事が来ました。
すでに修正されているバグや実際のセキュリティ脅威とはいえない報告については返事しないポリシー
とのことでした。相当な量のレポートやスパムも届いているはずなので、これは仕方ないかと思います。
3.3.1 の件でもみなさんお分かりだと思いますが、本当にバグがあった際にはたいてい数時間以内に
動きがあります。

JVN ではソースコードを追わず、日本語版チームに連絡することもなく、また上記 URL の記載内容に
ついても「WordPress バージョン 3.3 より前のバージョン」という表記は誤解を呼ぶので正しく書いて
欲しいとお願いしたのですができないとのことでした。

「連絡不能開発者一覧」については解決したことですのでこれ以上求めるものはありませんが、このよう
な流れであったことをご報告しておきます。言葉が足りない点があればコメントください。

百合子さん、ご報告ありがとうございました。
tenpura さん、確認ご協力ありがとうございました。

---
Nao

Reply all
Reply to author
Forward
0 new messages