「Blender」の脆弱性の件(続き)

どうも、ぼくです。

例のヤツの続きです。脆弱性についてのあらましと対策についてはそちらで言及してますが、Talosの記事とそれがリリースされたタイミングについてちょっと引っかかっていたのでメモしがてら。

それはそうと、Tonが反応してますね。

どうしてTalosはこのタイミングで公表したのか?

これは簡単。Ciscoの脆弱性開示のポリシーによるものです。「脆弱性を発見、コンタクトを取ってから90日間修正等の対応がされていない」ことにより、脆弱性について公表した、ということで、極めて事務的なものと言えるでしょう。

TalosからBlender FoundationにAdvisoryとして連絡をしたのが T52654(2017/09/05) 、 T52924(2017/09/27) ですから、 まあだいたいこの時期に、と。

Brechtのコメントについて

Talosの記事中に”Blender has declined“と書いてbrechtのコメントにリンクしてます。以下がT52924でのコメント。

Realistically, Blender is not well protected against these kinds of attacks, and the same is true for other CG software (often you can run arbitrary embedded scripts on file load, which Blender at least prevents). Anyone capable of exploiting these reported vulnerabilities can find 10 more in Blender and its library dependencies. As far as I’m concerned, opening a file with Blender should be considered like opening a file with the Python interpreter, you have the trust to the source it is coming from.

CG artists might not be aware of this and that’s a problem, but fixing these issues one by one is also a waste of time in my opinion. You’d need to completely review the code and architecture to get anywhere near real security, and I don’t see that happening soon for Blender, or similar CG software for that matter.

すぐに(脆弱性の悪用が)起きるかどうかわからないのに「セキュアなコードかどうか」のレビューまでするのは現実的ではないですよね的な感じですよね。brechtのコメントの前にTonが既にTalosにメールで回答している、と記述しています。

That being said, it’s not something we ignore, but the investment of resources (using volunteers?!) in fixing this, would not really justify the benefits.Would you help us fixing this?

また、T52654で1つの脆弱性については修正対応されているという記述があります。

何が引っかかったのか

これTalos側が提示した期限に「BFが単純に対応してない」ってだけの話で、「拒否する」とかしないとかの問題ではないですよね?、ってところ。もちろん脆弱性については一日も早い修正が望まれるのですが。

Brechtのコメント必要だったかなあ?

ところで、それぞれ TALOS-2017-#### が公開されたわけなんですが、対応するCVEのアップデートってどうなるんです?詳しい人教えてください。

TalosでBlenderの脆弱性一覧を見る場合には Disclosed Vulnerability Reports から”Blender”で検索してみるといいですよ?

[EDIT] BlenderNationにこの脆弱性についての記事が投稿されています。

ではー

 

広告

「Blender」の脆弱性の件(続き)」への1件のフィードバック

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

w

%s と連携中