CISAとFBIのosコマンドインジェクション排除要請の記事が目に止まりました。
主な趣旨として、コマンドインジェクションの緩和策は昔から知られているのに、未だにこの脆弱性は一般的であり、よく悪用される脆弱性で5位にランクインしているからしっかりやれよって内容です。
Cisco,Palo,Ivantiの脆弱性に対して、行われた要請です。
そんな簡単に排除できたら、苦労しないというのが本音ですが、(セキュリティに資金をかけているだろう)有名企業の製品がこのような脆弱性を含んでいるとなると本当に脆弱性の廃絶は難しいのかなと思います。
有名企業であればあるほど、過去のソースコードを使い回ししているでしょうし、技術的負債を抱えています。
市場シェアも高いですから、有名企業のセキュリティ担当者の方には頑張ってもらいたいです。
