IBM拒绝修补后:安全研究人员公布了IDRM的四个零日漏洞

作者 : 前沿资讯 本文共965个字,预计阅读时间需要3分钟 发布时间: 2020-04-22 共33人阅读

  由于被告知后拒绝修补,安全研究人员今日发布了影响 IBM 磁盘风险管理(IDRM)这款企业安全工具的四个零日漏洞。据悉,IDRM 能够汇总来自漏洞扫描工具和其它风险管理工具的提要,以便管理员调查安全问题。正如 Agile 信息安全公司研究主管 Pedro Ribeiro 所指出的那样,IDRM 是一款能够处理相当敏感信息的企业安全产品。

IBM拒绝修补后:安全研究人员公布了IDRM的四个零日漏洞

  遗憾的是,有关 IDRM 产品本身的漏洞,却可能导致企业遭受全面的损害。因其具有访问其它安全工具的凭据,更别提汇总了有关企业的关键漏洞信息。

  Ribeiro 表示,其在 IDRM 中发现了四个漏洞,并且与 CERT / CC 计算机安全响应团队合作,通过官方披露程序向 IBM 汇报了这些问题。

然而即便被告知四个漏洞的严重性,IBM 方面的回应却有些匪夷所思 —— 该产品仅用于客户的‘增强’支持,在评估之后,我们不认为他在漏洞披露程序的范围之内。

我司已在 https://hackerone.com/ibm 上概述了相关政策,想要获得该项目的参与资格,你不能在提交前六个月、根据合同对 IBM 公司或客户执行安全性测试。

  直到今天,研究人员仍不明白 IBM 为什么要摆出这样一副态度:

为何 IBM 拒绝接受免费的详细漏洞报告?

IBM 的回应到底是什么意思?是该公司仅接受来自客户的漏洞报告吗?

还是说该产品并不在支持范围内?若如此,为何还要出售给新客户?

要知道它们销售的可是企业级的安全产品啊!怎么还能如此不负责任呢

  Ribeiro 补充道:“作为一家市值数十亿美元、向世界级大企业出售安全产品和咨询业务的公司,IBM 的回应实在让人难以置信”。

  鉴于 IBM 无意修补这些漏洞,Agile 方面决定在 GitHub 上公布四个漏洞的详细信息,以敦促使用该产品的企业采取防范任何攻击的缓解措施。

(1)攻击者可绕过 IDRM 的身份验证机制;

(2)IDRM API 中有一个注入点,或被攻击者在应用程序上执行自己的命令;

(3)a3user/idrm 使用了硬编码的用户名和密码组合;

(4)API 中的漏洞或允许远程攻击者从 IDRM 设备上下载文件。

  【更新】在今日发给 ZDNet 的一封电子邮件中,IBM 终于遗憾地承认了此事,并声称相关补丁正在开发过程中。

  • 版权声明:文章来源于网络采集,版权归原创者所有,均已注明来源,如未注明可能来源未知,如有侵权请联系管理员删除。
1. 本站所有资源来源于网络和用户上传,如有侵权请联系站长或邮件至xiaoqiblog@163.com
2. 本站分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,商用请支持正版!不得违反国家法律,否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!

小七博客 » IBM拒绝修补后:安全研究人员公布了IDRM的四个零日漏洞

Leave a Reply

售后服务:

  • 售后服务范围 1、商业模板使用范围内问题免费咨询
    2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
    3、单价超过200元的模板免费一次安装,需提供服务器信息。
    付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
    2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
    3、服务器环境配置(一般 ¥50-300)
    4、网站中毒处理(需额外付费,500元/次/质保三个月)
    售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
    免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: xiaoqiblog@163.com),我们会及时删除,给您带来的不便,我们深表歉意!

Hi, 如果你对这款模板有疑问,可以跟我联系哦!

联系作者
赞助VIP 享更多特权,建议使用 QQ 登录
喜欢我嘛?喜欢就按“ctrl+D”收藏我吧!♡