ソフトウエア製品開発者による脆弱性関連情報届出様式 2007年6月1日 独立行政法人 情報処理推進機構 セキュリティセンター この届出様式は、ソフトウエア製品開発者自身が脆弱性関連情報を発見した 際に、その情報及び対策方法を JVN (Japan Vulnerability Notes) で公表し普 及させる事を目的に、独立行政法人情報処理推進機構(IPA)に届け出る際に、 使用していただくものです。円滑な取扱いのために、ご協力をお願いいたします。 JVN http://jvn.jp/index.html IPA に届出いただきましたら、IPA より JPCERT/CC に届出があった旨を連絡し、 脆弱性の公開につきまして、JPCERT/CC より調整させていただきます。 届出に際しては、「ソフトウエア製品開発者による脆弱性関連情報届出様式の 記入の手引き」をご一読ください。 http://www.ipa.go.jp/security/vuln/report/guide_vendor.txt ====================================================================== 2007年 6月 1日 1. 届出者情報 組織名:IPA セキュリティセンター 氏名*:IPA 太郎 電子メールアドレス*:foo@ipa.go.jp TEL : FAX : ・届出者情報については、* があるものは必須項目です。 ・電子メールアドレスがない場合、TEL、FAX のどちらかで必ず連絡が取 れる情報を記入してください。 2. JVN で公表する情報について 1) タイトル FoobarbazWebServer におけるサービス運用妨害 (DoS) の脆弱性 2) 脆弱性の概要 ウェブサーバである FoobarbazWebServer には、特定のリクエストを処 理する際にメモリを大量に消費する脆弱性があります。 3) 影響を受けるシステム FoobarbazWebServer 1.2 以前 4) 詳細情報 IPA セキュリティセンターが提供する FoobarbazWebServer は、ウェブ サーバです。 FoobarbazWebServer には、foobar() 関数の呼び出しに問題があり、細 工されたリクエストを受け取ると、FoobarbazWebServer がサービス運用 妨害 (DoS) 状態に陥る脆弱性が存在します。 5) 想定される影響 遠隔の第三者により、サービス運用妨害 (DoS) 攻撃を受ける可能性があ ります。 6) 対策方法 6-1) 対策 □ パッチ ■ バージョンアップ □ その他 補足説明(新たなバージョン番号や、その他の際の方法など) 6-2) 回避策 □ あり ■ なし 補足説明(ありの際の方法など) ※ 上記 1) 〜 6) は、JVN(以下 URL) を参考に記入してください。 http://jvn.jp/jp/index.html ※ なお JVN で公表する情報は、既に公開済みの情報との整合性を考慮し、 修正する可能性がありますので、予めご了承ください。 7) 対策情報の公開予定日時 6 月 11 日 〜 13 日の公開を予定しています。 ※ 届出をいただいてから JVN での公開までは時間がかかる場合があります。 1 週間程度の余裕を持って、公開予定日時を設定してください。 8) その他 特になし 3. 今後の取扱いについて 1) IPA からの連絡における暗号化 ■ 希望する □ 希望しない 2) JPCERT/CC からの連絡における暗号化 ■ 希望する □ 希望しない ※IPA もしくは JPCERT/CC から連絡における暗号化を希望する場合は、 公開鍵を添付してください。 4. その他 特になし ======================================================================