Sicherheitsforscher zieht Exploit nach Druck von IBM zurück

Der Fehler steckt in Websphere 7 bis 9. Das Unternehmen sieht seine Kunden durch die regelgerechte Veröffentlichung des Exploits gefährdet. Nicht jeder könne den verfügbaren Patch gleich einspielen, kommentiert es.

IBM räumt ein, Druck auf einen Sicherheitsforscher ausgeübt zu haben, damit er einen Exploit-Code für eine Schwachstelle in IBM-Produkten zurückzog. Der von Maurizio Agazzini nach den üblichen Regeln gemeldete Fehler CVE-2016-5983 steckt in IBM Websphere, und zwar in dessen Versionen 7, 8, 8.5 sowie 9.

IBM (Bild: IBM)Agazzini machte seine Entdeckung vergangene Woche öffentlich – zwei Monate, nachdem er IBM verständigt hatte, das auch einen Patch veröffentlichte. Sein Beitrag enthielt einen Link zu einem so genannten Proof-of-Concept, also Code, der die Lücke beispielhaft ausnutzt.

IBM war mit dieser Offenlegung nicht einverstanden und forderte von Agazzini, Details des Exploits zu entfernen. Diese E-Mail veröffentlichte ein Kollege von Agazzini via Twitter. Sie ist zwar als Bitte formuliert, aber in einem scharfen Ton gehalten. IBM wolle seine Kunden keinem Risiko aussetzen, steht dort, und eine solche Veröffentlichung gefährde sämtliche Kunden. Eine schnelle Reaktion und Entfernen des Codes sei wünschenswert.

Die Schwachstelle steckt im Applikationsserver von Websphere. Ist der Cookie WASPostParam gesetzt, akzeptiert er Daten aus nicht vertrauenswürdigen Quellen, was sowohl Denial-Of-Service-Angriffe (DoS) als auch Remote-Codeausführung zulässt.

Den Angriffscode hat Agazzini entfernt. Seine Beschreibung eines erfolgreichen Angriffs ermöglicht es technisch bewanderten Nutzern aber, selbst solchen Code zu schreiben.

Gegenüber The Register rechtfertigte IBM sein Verhalten mit dem Hinweis, ein Patch liege zwar vor, nicht jedes Unternehmen könne ihn aber immer gleich einspielen. „Obwohl dies nicht IBMs übliche Praxis ist, haben wir in diesem speziellen Fall darum gebeten, einige der Details zu dem Exploit wegzulassen, um anfällige Nutzer zu schützen und ihnen Zeit zum Patchen zu geben.“

Die Veröffentlichung von Proof-of-Concept-Code ist ein hilfreiches Angebot insbesondere für andere Sicherheitsforscher, die sich mit Schwachstellen im gleichen Produkt befassen. IBMs Sorge um die Kunden ist lobenswert, seine Rhetorik aber zweifelhaft, deutet es doch an, der Sicherheitsforscher gefährde die Nutzer, der ja im Gegenteil auf die bereits bestehende Gefahr erst hingewiesen hat. Auf lange Sicht wird ein Softwareanbieter, der sich so verhält, sein Verhältnis zur Security-Community nicht gerade verbessern können.

[mit Material von Charlie Osborne, ZDNet.com]

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Themenseiten: IBM, Security, Server, Sicherheit, Webentwicklung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher zieht Exploit nach Druck von IBM zurück

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *