Apache、Equifaxの情報漏洩に関する米国下院委員会質問状の回答を公開

Apache Software Foundationは10月3日(米国時間)、「Response From The Apache® Software Foundation To Questions From US House Committee On Energy And Commerce Regarding Equifax Data Breach : The Apache Software Foundation Blog」において9月19日(米国時間)に米国下院エネルギー商業委員会から寄せられたEquifaxの情報漏洩に関する質問状に対する回答を公開した。

Apache Software Foundationは米国下院エネルギー商業委員会から寄せられた質問に対し、次のような回答を示している(詳細については原文を参照のこと)。

Apache Software Foundationが後にCVE-2017-5638として定められる脆弱性について知ったのはいつか?

2月14日に報告を受けた。Apache Software Foundationはこの脆弱性がEquifaxのインシデントを引き起こしたものであるかどうかを判断する情報は保持していない。

Apache Software Foundationはどのようにしてその情報を入手したか?

セキュリティメーリングリスト経由でNike Zhengから脆弱性に関する報告を受けた。

Apache Software FoundationはいつCVE-2017-5638に対するパッチを作成したか?

Apache Software FoundationはCVE-2017-5638に対するパッチを3月7日に提供した。

Apache Software Foundationはこのパッチ/アップデートをインストールする方法を提供したか?(このパッチは通常のパッチよりもいくぶんか複雑のようだと理解している)

パッチはApache Strutsプロジェクトのフルリリースの一環として公開されており、ユーザーは最新バージョンにアップグレードすることで適用でき、これがパッチを適用する最も簡単な方法となっている。そのほか、いくつかパッチを適用する方法を公開した。

Apache Software Foundationのソフトウェアはすべてオープンソースだと理解している

すべてのApache Software Foundationソフトウェアプロジェクトはオープンソース・ソフトウェア・ライセンスであるApache Software License, version 2のもとで提供されている。

Equifaxの情報漏洩は当初発表されたよりも多くの顧客データが漏洩していたことが明らかになっている。また、今回の件に関するものではないが、別の国におけるデータ管理についもてEquifaxのセキュリティ体制がずさんであったことなどが指摘されている。