一位安全研究人员今天发布了关于四个零天漏洞影响IBM安全产品的详细信息,因为该公司在一次私人bug披露尝试之后拒绝修补bug。
这些错误影响IBM数据风险管理器(IDRM),这是一个企业安全工具,它从漏洞扫描工具和其他风险管理工具聚合提要,让管理员调查安全问题。
敏捷信息安全研究主任佩德罗·里贝罗(Pedro Ribeiro)和发现这四个错误的人说:“IDRM是一种处理非常敏感信息的企业安全产品。
他补充说:“这种产品的妥协可能会导致公司的全面妥协,因为该工具具有访问其他安全工具的凭据,更不用说它包含影响公司的关键漏洞的信息。”
里贝罗说,他在IDRM中发现了四个bug,并与CERT/CC团队合作,通过其官方的bug漏洞披露程序向IBM报告这些问题。
安全研究人员说,尽管他报告了四个错误的严重性,但IBM拒绝接受错误披露,因为这似乎是一种荒谬的反应:
我们已经评估了这份报告,并关闭了我们的漏洞披露计划的范围,因为这个产品只是为我们的客户支付的“增强”支持。 我们的政策https://hackerone.com/ibm.概述了这一点 要有资格参加此程序,您不得在提交报告前6个月内根据合同对IBM公司、IBM子公司或IBM客户端进行安全测试。
研究人员说,到目前为止,他还没有明白回答的真正含义,还有一些问题,例如:
Ribeiro说:“这是一个令人难以置信的反应,IBM是一家价值数十亿美元的公司,向世界各地的大公司销售安全企业产品和安全咨询。