由于被告知后拒絕修補，安全研究人員今日發布了影響 IBM 磁盤風險管理（IDRM）這款企業安全工具的四個零日漏洞。據悉，IDRM 能夠匯總來自漏洞掃描工具和其它風險管理工具的提要，以便管理員調查安全問題。正如 Agile 信息安全公司研究主管 Pedro Ribeiro 所指出的那樣，IDRM 是一款能夠處理相當敏感信息的企業安全產品。

　　遺憾的是，有關 IDRM 產品本身的漏洞，卻可能導致企業遭受全面的損害。因其具有訪問其它安全工具的憑據，更別提匯總了有關企業的關鍵漏洞信息。

　　Ribeiro 表示，其在 IDRM 中發現了四個漏洞，并且與 CERT / CC 計算機安全響應團隊合作，通過官方披露程序向 IBM 匯報了這些問題。

然而即便被告知四個漏洞的嚴重性，IBM 方面的回應卻有些匪夷所思 —— 該產品僅用于客戶的‘增強’支持，在評估之后，我們不認為他在漏洞披露程序的范圍之內。

我司已在https://hackerone.com/ibm上概述了相關政策，想要獲得該項目的參與資格，你不能在提交前六個月、根據合同對 IBM 公司或客戶執行安全性測試。

　　直到今天，研究人員仍不明白 IBM 為什么要擺出這樣一副態度：

為何 IBM 拒絕接受免費的詳細漏洞報告？

IBM 的回應到底是什么意思？是該公司僅接受來自客戶的漏洞報告嗎？

還是說該產品并不在支持范圍內？若如此，為何還要出售給新客戶？

要知道它們銷售的可是企業級的安全產品啊！怎么還能如此不負責任呢

　　Ribeiro 補充道：“作為一家市值數十億美元、向世界級大企業出售安全產品和咨詢業務的公司，IBM 的回應實在讓人難以置信”。

　　鑒于 IBM 無意修補這些漏洞，Agile 方面決定在 GitHub 上公布四個漏洞的詳細信息，以敦促使用該產品的企業采取防范任何攻擊的緩解措施。

（1）攻擊者可繞過 IDRM 的身份驗證機制；

（2）IDRM API 中有一個注入點，或被攻擊者在應用程序上執行自己的命令；

（3）a3user/idrm 使用了硬編碼的用戶名和密碼組合；

（4）API 中的漏洞或允許遠程攻擊者從 IDRM 設備上下載文件。

　　【更新】在今日發給 ZDNet 的一封電子郵件中，IBM 終于遺憾地承認了此事，并聲稱相關補丁正在開發過程中。

總結

以上是生活随笔為你收集整理的IBM拒绝修补后：安全研究人员公布了IDRM的四个零日漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。