脆弱性報告するとNDAが発生するので、その為に公開できないですよね〜

筆者が2年以上前に見つけたこれらの問題を，今になってなぜ明かすのか。実際のところ，我々が最初にこれらの問題をサンに報告したとき，サンは重要度の高い方（バグ2）はパッチを提供して素早く対応した上で，「これら両者は関連する問題であるため，もう一つのバグに対するパッチを公開するまで発表を待ってほしい」と頼んできたのだ。それから2年が経過し，サンはついにバグ1のパッチを公開した。現時点で最も重要な問題は，既にパッチが当てられてからしばらく経っており（サンはこの間にSolarisで二つの新しいバージョンをリリース済み），さらに我々としては，通常はバグ1だけでは通告しない。バグ1は興味深いものであると同時に，ファイアウォールをバイパスするという意味で脅威であり，攻撃者にとってはごく限られた範囲で攻撃が可能だ。つまり，最初のバグを使用して攻撃範囲を広げることはできるが，単独ではホストを侵害することはできない。