JVN#77886599ですね。

あのこの脆弱性をJPCERTへ通報した高木浩光さんに

何?これ。「修正済みです。」だけ?

とか言われてますが、確かに「修正済みです。」だけではいかんと思いますよ。「アップデート必要」とか、URL示して「詳しくはこのへん参照」とか。何かないんですか。
あ、ワタシは初めて導入したのが対策済みのバージョンだったので。幸運でした。

それから、18:00 に情報を公開するので何か記入してくださいというメールが来まして、システムを使おうとしたらエラーで使えなかった。それが修正されて僕がコメントを記入する欄があるということを知ったのは 16:00。そういう状況で通常業務と平行しながら前例とか周囲をくまなく調べて「コメントにこう書くべきという暗黙のルール」を理解して、何かしらを記述するってのは無茶な話ですよ。

情報を提供していただいてるのですからもちろん感謝していますし、出せる情報は出したい。でもその前提となる状況がまったくそろってない状態で、何かそれをするのが義務のような感じで批判されるのは納得がいかないですよ。

なんか時刻が逆に書いてあるような気がしますがそれはともかく。

株式会社はてなの JVN#77886599 への対応のページには更新履歴とかあるので、更新をかけることができる、つまり、ベンダがJPCERTに追加情報を提供してこのページを更新してもらうことができるのだと推測します。

だったら、修正済みです、じゃなく、もう少しましなものに変えてもらったらどうでしょうか、というのが、私の言いたいことです。そのくらいなら近日中に「通常業務と並行して」できそうな気がします。

「すばやくリリース、何度もリリース」…と、昔あるヒトに言われました(遠い目

もちろん、「そこまでやる価値があるのか」という議論はあると思います。

「製品開発者からの情報提供」ページが更新されました。詳しくはこっちのエントリを参照のこと。