2007年02月13日(火) [過去の今日]
#2 office氏に責任を負わせたがために認識の甘さが直らなかったのかね
ファーストサーバ社は危険性をちゃんと顧客に伝えているのか という記事。 お客のサイトの問い合わせページがオレオレ証明書らしい。
で、聞き覚えのある名前だなーと思ってぐぐってみたらドンピシャ、 office氏逮捕事件 の時のレンタル鯖屋じゃん。 テンプレサイトから引用すると、
一方ファーストサーバは自社サーバの契約者に「標準CGI」というCGIキットを無償提供しており、今回問題となったcsvmail.cgiもこの標準CGIキットに含まれていました。ファーストサーバはこのCGIについて、11/8以後のoffice氏とのやりとりで「2002年末から配布CGIの脆弱性(洗浄不足)に気づいていた」と弁明している一方、実際にはCGI利用者にその脆弱性を公開せず「新たなバージョンのCGIをリリースした」という報告だけを行い、旧CGIをリプレースするかどうかは各サイト運用者の任意の判断に任せていたことがわかっています(2ちゃんねる「ファースト鯖」スレ(149-)参照)。
だそうで、事件の直接の原因を作った会社なわけね。
結局このとき責任を取らず、office氏に全責任を負わせてしまった事が、今もってゆるい体質のままでいてしまう理由ってことなのかなあ。
まあ、俺も気をつけよう……。痛い目見てからじゃないと学べないなんて辛すぎる。
(@090)