在最初否認(rèn)有任何漏洞的報告之后,IBM已經(jīng)承認(rèn)其安全產(chǎn)品之一存在一些缺陷��。
該漏洞影響了IBM數(shù)據(jù)風(fēng)險管理器(IDRM)���,該數(shù)據(jù)匯總了來自漏洞掃描工具和其他風(fēng)險管理設(shè)備的提要�,以便管理員可以連續(xù)調(diào)查并隔離安全問題����。
IBM承認(rèn)敏捷信息安全部的Pedro Ribeiro報告的四個嚴(yán)重漏洞中的三個是向美國計算機應(yīng)急響應(yīng)小組(CERT)披露的一部分
可以使用根超級用戶權(quán)限將四個錯誤中的三個鏈接在一起,以執(zhí)行遠(yuǎn)程代碼而無需身份驗證�。
零日漏洞
Ribeiro說,IRDM是一種企業(yè)安全產(chǎn)品�,可以處理敏感信息,并且這種產(chǎn)品上的任何損害都可能導(dǎo)致公司全面受損�,因為該工具除了包含有關(guān)影響IBM的嚴(yán)重漏洞的信息外,還具有訪問其他安全工具的憑據(jù)���。 ����。
研究人員補充說���,他發(fā)現(xiàn)了IDRM中的錯誤,并與CERT團隊合作通過正式的漏洞披露程序向IBM報告了問題。但是��,盡管漏洞的嚴(yán)重性����,IBM仍不接受披露嘗試。
IBM的回應(yīng)表明��,該漏洞報告不在公司的漏洞披露計劃的范圍內(nèi)����,因為該產(chǎn)品僅用于增強對客戶的支持。Ribiero表示���,對于報告是否被接受或產(chǎn)品是否不受支持�����,他不確定答案的含義����。
里貝羅說:“這是價值數(shù)十億美元的IBM的令人難以置信的回應(yīng)���,該公司正在向全球的大型公司出售安全企業(yè)產(chǎn)品和安全顧問�������!
在通過電子郵件發(fā)送給ZDNet的回復(fù)中�����,IBM對事件如何解決表示遺憾�,并聲稱這是一個過程錯誤導(dǎo)致對研究人員的不當(dāng)回復(fù)。電子郵件中說:“我們一直在努力進行緩解措施��,并將在即將發(fā)布的安全公告中對其進行討論����。”
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
