お疲れ様です。
XCL 2.1.7 では1件のセキュリティパッチが含まれ、今後予定されるネイティブアプリの開発では、 XSS やSQL Injectionのほかに、バッファオーバーフローなどの深刻なセキュリティホールと向かいあっていく必要があります。
そこで、 XOOPS Cube プロジェクトとして、深刻度の評価基準をあらかじめ統一しておきたいと考えています。
少し長い引用になりますが、Microsoft の 深刻度の評価システムとは? によると、
セキュリティ問題は、そのすべてが危険なものとは限りません。もちろん悪用されると危険なものもありますが、悪用の手順が非常に難しいものや、悪用されて攻撃を受けても被害が抑えられるものなどの比較的軽度なものもあります。
深刻度の評価システムとは、セキュリティ上の問題の危険性の指標です。皆様に修正をしていただきたい優先順位ともいえます。
深刻度の評価システムは以下のような分類と考え方になっています。
緊急
緊急の評価を受けているセキュリティ問題は、ウイルスやワームなどの皆様に大きな被害や迷惑を与える方法や手順が、クラッカーなどに悪用される可能性が非常に高いものです。たとえば、インターネットを通じて、皆様のコンピュータが自由に操作されたり、クレジットカード番号やメールなどを盗み見られるなどの被害に遭うことがあります。また被害を受けるだけではなく、ウイルスやワームを送り込まれた自分自身がいつのまにか他のユーザーに被害を与えてしまう加害者になることも考えられます。
この問題が悪用される前に、直ぐにでも対策を行っていただきたいという評価です。
重要
重要の評価を受けているセキュリティ問題は、緊急と同じような被害に遭う可能性がありますが、その攻撃の方法や手順などが明らかになっていない場合がほとんどです。または、悪用された場合に緊急ほど大きな被害はなく、プログラムが異常終了する場合などにもこの評価となります。この問題が悪用される前にできる限り早く対策を行っていただきたいという評価です。
警告
警告の評価を受けているセキュリティ問題は、悪用をする方法が困難でほとんどの場合には失敗に終わらせることが可能な問題です。また回避策があるので更新プログラムのインストールを行わなくても対策ができるものがほとんどです。
この問題が悪用される前に、特別な事情がなければ出来るだけ対策を行っていただきたいという評価です。
注意
注意の評価を受けているセキュリティ問題は、悪用することが非常に困難で、攻撃が成功されてしまうにはさまざまな要素がすべて整った場合にのみ行われます。また攻撃が成功されてしまっても、影響は広範囲には広がりません。
この問題が悪用される前に、特別な事情がなければ対策を行っていただきたいという評価です。
どの評価も危険であることに変わりはありませんが、特に緊急と重要は、更新プログラムのインストールを前提として考えていただきたいものです。
脆弱性の評価は、その都度見直しが行われることがあります。これは、その脆弱性が悪用される危険性が高まった場合などに、皆様にそのことをお伝えいたします
となっています。これだと、たとえば 2.1.6 の mysql error handing がらみのセキュリティホールが「注意」、グループ所属ゼロのユーザーがいたときに問題が起こるセキュリティホールは「重要」になると思われます。
以前、セキュリティホールがらみで GIJOE さんと話をしたときは、「SQL Injection など、 CSRF 抜きで一方的に攻撃が可能なもの」が最凶にあたるため、これ系の攻撃に最大級の警告を割り振り、それ以外のものは一段下げておいたほうがよいと言われていました。これはバージョン維持に興味がないユーザーに、それほど危険でないものを危険と煽り立てると、本当に危険なものが出たときにそれを表現する手段がないから、という理由です。僕もこれには同意です。
その場合、踏ませ系は「重要」になると思います。
ただし、踏みぬくとそれなりに危険なものもあるため、マイクロソフトの説明をそのまま使うわけにはいきませんが、この4段階は使えるんじゃないかな?と思いますが、どうでしょう。
