[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0523] Re: APPLE-SA-2003-10-28 Mac OS X 10.3 Panther

To: harden-mac@xxxxxxxxxx
Subject: [harden-mac:0523] Re: APPLE-SA-2003-10-28 Mac OS X 10.3 Panther
From: vm_converter <vm_converter@xxxxxxx>
Date: Thu, 30 Oct 2003 13:01:35 +0900

石川です。 On Thursday, Oct 30, 2003, at 11:47 Asia/Tokyo, SHINODA Nobuo wrote: > 篠田です。 >> ・Jaguarにはfixは提供されないのか？ >> ・Mac OS X 10.3 Panther Screen Lock Bypass >> 　<http://www.securemac.com/macosx-screenlock-bypass.php> >> 　は？？ >> ・security enhancements＝セキュリティの強化≠脆弱性？ > > BugTraq でも少し議論になっているようですね。面白いなと思ったのは、@stakeの人が投稿している ○Re: Mac OS X vulnerabilities ['Virus checked"] http://www.st.ryukoku.ac.jp/%7Ekjm/security/ml-archive/bugtraq/2003.10/ msg00327.html 超訳（^^;; すると、 ------------------------------------------------------------------------ ------ ウチらはOISのガイドラインに沿ってるし、2002/06から変えてねー。 Jaguarがもしサポートされてるってなら、「サポートしている全てのOS」に同時に patchを提供するよう努力しろってぇガイドラインから、Appleが外れてんだろ。 ------------------------------------------------------------------------ ------ ZDNetで記事にもなってますね。 ○エンタープライズ：Mac OS Xの脆弱性、Panther以外にパッチはなし？ http://www.zdnet.co.jp/enterprise/0310/30/epn11.html > やはりマイクロソフトのように，メジャーバージョンの（少なくとも）セキュリティ > アップデートの保守期限を明示する時期になっていると思います。今回で言えば、まずは、直前のバージョンはサポートするのかしないのか明言すること。ですかね。 Bugtraqの中でも誰かが言ってましたが、ライフタイムサイクルも公示して欲しいですね。 >> Apple（の特にサーバ）製品の導入を躊躇っちゃいますよね。 >> これから先。 > > Apple ソフトウェア自動送付サービスですと，３年間の自動送付で > クライアント 10-99 ライセンス ¥25,800/client > サーバ 1 ライセンス ¥59,800 > だそうですから，法人としては予算がたてやすくはなってきています。はい。存じてます。(^^;; ただ、AppleがPantherの発売後たった４日でJaguarの脆弱性を公表してしまうんであれば、ダウンロード販売にでもしたらどうかと思います。 http://pc.2ch.net/test/read.cgi/mac/1067002441/ ら辺を見る限り、Up-to-Dateを利用していてSAが出る前に届いてない人も結構いるんじゃないかと。かく言う私のファミリーパックもまだ届いてませんが、これもBugtraqで誰かが言ってましたけど、せめてもう少し間を空けてSAを出した方が良かったんじゃないんでしょうか。 # 「脆弱性の公開はpatchが出てから30日後」としている脆弱性公開の # ガイドラインも有った気がするんですが、これに沿うんであれば、今回の # SAは11/25に出すもの？ (^^;; port139 MLでも書きましたが、今回の件は、AppleがMac OS X (Server) 10.2.xユーザに対して0 dayで脆弱性公開を行った、と考えても良い位だと思っています。 > 個人レベルでは１つ前までのバージョンのセキュリティアップデートは > してほしいと思います。私としては、・全てのsecurity patchは他のアップデートと分離する・現行と直前のバージョンへのpatchは無償且つダウンロードで提供・２つ前のバージョンへのpatchはダウンロードで提供（無償／有償は問わない）位かなぁと思っています。なので、現行年度と直前とその前で併せて３年か。譲れて現行と直前くらい。とにかく、機能追加とごっちゃにしてsecurity fixを行い、enhancementsなんて言葉でお茶を濁すのはどうかと思います。 10.1→10.2の頃と、今の10.2→10.3じゃぁ世間の注目度も違うんだからまともな対処を考えて欲しいもんですね。＞Apple -- 石川泰久／vm_converter --[PR]------------------------------------------------------------------ □□□■□■□□■□　☆デジカメ・DVDプレーヤー・JTB旅行券が当たる☆ □□□■□■□□■□ 　　【お近くのＪＵショップを探そう！】 ■□□■□■□□■□ 　　　　●○キャンペーン実施中○● □■■□□□■■□□　　　　　　↓↓　今すぐ参加　↓↓ 　　　　 http://ad.freeml.com/cgi-bin/ad.cgi?id=cnIXB ------------------------------------------------------------------[PR]-- <GMO GROUP> Global Media Online www.gmo.jp

Follow-Ups:
- [harden-mac:0524] Re: APPLE-SA-2003-10-28 Mac OS X 10.3 Panther
  - From: vm_converter

References:
- [harden-mac:0521] Re: APPLE-SA-2003-10-28 Mac OS X 10.3 Panther
  - From: SHINODA Nobuo

Prev by Date: [harden-mac:0522] Re: APPLE-SA-2003-10-28 Mac OS X 10.3 Panther
Next by Date: [harden-mac:0524] Re: APPLE-SA-2003-10-28 Mac OS X 10.3 Panther
Previous by thread: [harden-mac:0522] Re: APPLE-SA-2003-10-28 Mac OS X 10.3 Panther
Next by thread: [harden-mac:0524] Re: APPLE-SA-2003-10-28 Mac OS X 10.3 Panther
Index(es):
- Date
- Thread