EC-CUBE、既知の脆弱性の詳細公開に対し公開中止を要請

　人気のECサイト構築ソフトウェア「EC-CUBE」に関する既知の脆弱性の詳細が発表されたのだが、これに対しEC-CUBEの開発元から公開中止の要請があったという（記事の追記、Togetterまとめ）。

　この背景について、ECサイト構築支援を行っているTHANK Uが「EC-CUBE脆弱性情報の公開の是非」として説明を行っているのだが、これによるとサイト構築後に適切な運用を行っていないEC-CUBEユーザーが存在し、修正パッチの適用やアップデートを行っていないサイトが少なからずあるという。そのため、脆弱性の再現手順を公開することはユーザーを危険にさらす可能性があると危惧されている。

　ただ、解説されている脆弱性はすべて既知のものであり、JVNなどで情報が公開されている。EC-CUBEはオープンソースなので、詳細は明らかにされていなくても、ソースコードの差分を確認すれば修正された個所から脆弱性の内容を推測できる可能性があるため「脆弱性の再現手順の公開」を防ぐことに意味があるかどうかは不明だ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
JPCERT/CC、作者音信不通のソフトについても脆弱性情報の公表を開始 2015年09月08日
HPのセキュリティプロジェクトチーム、IEの未修正脆弱性情報概要を公開 2015年07月28日
GoogleはAndroidの更新に関する問題をいつまで放置し続けるのか 2015年05月10日