IBM要求删除协调漏洞披露中POC代码,你怎么看?

日期: 2016-10-30 作者:Peter Loshin翻译:邹铮 来源:TechTarget中国 英文

根据协调漏洞披露的规则,并不总是意味着完全披露。不久前,安全研究人员发现IBM WebSphere应用服务器中的严重漏洞,而后IBM要求研究人员从其完全披露公开邮件列表公告中移除该POC代码。

根据意大利安全研究人员Mausizio Agazzini的安全公告显示,这个漏洞涉及IBM的WebSphere应用服务器反序列号不受信任数据的方式。该漏洞可能允许攻击者通过资源耗尽执行拒绝服务攻击,导致远程代码执行。

该漏洞被定为CVE-2016-5983,CVSS基本分数为7.5,表明这是高度严重漏洞。

Agazzini是@Mediaservice.net S.r.l.意大利信息安全公司安全研究人员,他遵循负责任披露规则,在8月底将该漏洞报告给IBM公司。Agazzini对IBM的要求感到惊讶:“在与IBM有关该漏洞的沟通过程中,他们从未要求我们不要发布信息或者延迟该公告。”

“我们理解这是保护其客户的做法,但有关该漏洞的所有信息已经由IBM发布,即使没有我们的代码/公告,攻击者也能够在任何情况下利用这个漏洞,”Agazzini称,并补充说,他期望在未来某个时候重新发布这个POC代码。

对于删除POC代码,Agazzini称,不发布它并不会提高客户安全性。“我不认为不发布POC会让客户更加安全;而是相反。就我个人而言,我认为很多客户不会更新系统,因为网络中没有可行的漏洞利用。”

原始安全公告在单独文件中包含概念证明(POC)代码,以及示例攻击会话的简要说明。IBM要求从公告中移除POC代码以及描述示例攻击会话的部分,所以POC代码从该文件中移除,并替换为文本信息:“该存档已经按照IBM要求暂时删除。”然而,描述示例攻击会话的部分仍然保留。

当IBM的要求在Twitter公开时,这在信息安全社区引起一些愤怒。但并不是所有人都这么认为。

“我认为公众的反应太过度,且没有根据,并没有律师参与其中,也没有威胁,”Fidelis Cybersecurity公司威胁系统经理John Bambenek称,“IBM的举动似乎是合理的要求,这个要求可能被拒绝。对这个要求的过度反应可能让企业对研究人员不再那么开放,这是需要思考的问题。”

根据发言人表示,IBM“及时”为这个漏洞创建、测试并发布了补丁。然而,“虽然现在已提供修复程序,我们了解很多企业并不能总是立即安装修复程序。因此,我们要求移除具体漏洞利用详细信息,以保护弱势用户,让他们有时间客户修复。”

“IBM似乎认为漏洞利用细节会带来风险,因为并不是每个人都可以立即修补,并且考虑到WebSphere在企业中如何使用,”Bambenek称,“如果双方都积极合作,那么IBM的要求并没有什么问题。”

并非所有人都认为IBM的做法符合协调漏洞披露。

“我不认为这是合理的要求,”公共私营研究机构Fundacion Dr. Manuel Sadosky信息通信技术安全项目主管Ivan Arce称,“他们要求对别人的研究工作作出编辑决定,在我看来,他们没有权力这样做。”

虽然长期以来,供应商通常都会要求研究人员编辑其研究结果来移除概念证明漏洞利用细节,Arce称,更为常见的是企业软件安全做法不成熟,在IBM的情况下,这着实有些令人惊讶,因为他们对漏洞研究和报告的做法并不陌生。

“这肯定会对报告漏洞的研究人员及其雇主带来负面影响,”Arce称,“但进一步试图通过法律手段或者公共修复来盛饭漏洞研究人员会适得其反,正如过去发生过的那样。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Peter Loshin
Peter Loshin

网站编辑

翻译

邹铮
邹铮

相关推荐