找回密码
 创建账号

QQ登录

只需一步,快速开始

查看: 2897|回复: 2

[新闻快讯] IBM拒绝修补后:安全研究人员公布了IDRM的四个零日漏洞

[复制链接]
  • TA的每日心情
    擦汗
    2020-8-29 17:33
  • 签到天数: 32 天

    连续签到: 1 天

    [LV.5]三尾狐

    发表于 2020-4-22 11:48:47 | 显示全部楼层 |阅读模式

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有账号?创建账号

    ×
    由于被告知后拒绝修补,安全研究人员今日发布了影响 IBM 磁盘风险管理(IDRM)这款企业安全工具的四个零日漏洞。据悉,IDRM 能够汇总来自漏洞扫描工具和其它风险管理工具的提要,以便管理员调查安全问题。正如 Agile 信息安全公司研究主管 Pedro Ribeiro 所指出的那样,IDRM 是一款能够处理相当敏感信息的企业安全产品。


    遗憾的是,有关 IDRM 产品本身的漏洞,却可能导致企业遭受全面的损害。因其具有访问其它安全工具的凭据,更别提汇总了有关企业的关键漏洞信息。


    Ribeiro 表示,其在 IDRM 中发现了四个漏洞,并且与 CERT / CC 计算机安全响应团队合作,通过官方披露程序向 IBM 汇报了这些问题。
    然而即便被告知四个漏洞的严重性,IBM 方面的回应却有些匪夷所思 —— 该产品仅用于客户的‘增强’支持,在评估之后,我们不认为他在漏洞披露程序的范围之内。

    我司已在 https://hackerone.com/ibm 上概述了相关政策,想要获得该项目的参与资格,你不能在提交前六个月、根据合同对 IBM 公司或客户执行安全性测试。


    直到今天,研究人员仍不明白 IBM 为什么要摆出这样一副态度:
    为何 IBM 拒绝接受免费的详细漏洞报告?

    IBM 的回应到底是什么意思?是该公司仅接受来自客户的漏洞报告吗?

    还是说该产品并不在支持范围内?若如此,为何还要出售给新客户?

    要知道它们销售的可是企业级的安全产品啊!怎么还能如此不负责任呢


    Ribeiro 补充道:“作为一家市值数十亿美元、向世界级大企业出售安全产品和咨询业务的公司,IBM 的回应实在让人难以置信”。


    鉴于 IBM 无意修补这些漏洞,Agile 方面决定在 GitHub 上公布四个漏洞的详细信息,以敦促使用该产品的企业采取防范任何攻击的缓解措施。
    (1)攻击者可绕过 IDRM 的身份验证机制;

    (2)IDRM API 中有一个注入点,或被攻击者在应用程序上执行自己的命令;

    (3)a3user/idrm 使用了硬编码的用户名和密码组合;

    (4)API 中的漏洞或允许远程攻击者从 IDRM 设备上下载文件。


    更新】在今日发给 ZDNet 的一封电子邮件中,IBM 终于遗憾地承认了此事,并声称相关补丁正在开发过程中。
    头像被屏蔽
  • TA的每日心情
    擦汗
    2021-3-6 18:04
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]小紙人

    发表于 2021-3-10 20:23:24 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复

    使用道具 举报

    头像被屏蔽
  • TA的每日心情
    慵懒
    2023-6-11 01:02
  • 签到天数: 208 天

    连续签到: 1 天

    [LV.7]雪女

    发表于 2021-6-19 08:12:04 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 创建账号

    本版积分规则

    Archiver|手机版|小黑屋|iYa.App 软件交流社区

    GMT+8, 2024-11-21 20:19 , Processed in 0.027751 second(s), 18 queries .

    Powered by Discuz! X3.5

    © 2001-2024 Discuz! Team.

    快速回复 返回顶部 返回列表