IBM räumt ein, Druck auf einen Sicherheitsforscher ausgeübt zu haben, damit er einen Exploit-Code für eine Schwachstelle in IBM-Produkten zurückzog. Der von Maurizio Agazzini nach den üblichen Regeln gemeldete Fehler CVE-2016-5983 steckt in IBM Websphere, und zwar in dessen Versionen 7, 8, 8.5 sowie 9.
IBM war mit dieser Offenlegung nicht einverstanden und forderte von Agazzini, Details des Exploits zu entfernen. Diese E-Mail veröffentlichte ein Kollege von Agazzini via Twitter. Sie ist zwar als Bitte formuliert, aber in einem scharfen Ton gehalten. IBM wolle seine Kunden keinem Risiko aussetzen, steht dort, und eine solche Veröffentlichung gefährde sämtliche Kunden. Eine schnelle Reaktion und Entfernen des Codes sei wünschenswert.
Die Schwachstelle steckt im Applikationsserver von Websphere. Ist der Cookie WASPostParam gesetzt, akzeptiert er Daten aus nicht vertrauenswürdigen Quellen, was sowohl Denial-Of-Service-Angriffe (DoS) als auch Remote-Codeausführung zulässt.
Den Angriffscode hat Agazzini entfernt. Seine Beschreibung eines erfolgreichen Angriffs ermöglicht es technisch bewanderten Nutzern aber, selbst solchen Code zu schreiben.
Gegenüber The Register rechtfertigte IBM sein Verhalten mit dem Hinweis, ein Patch liege zwar vor, nicht jedes Unternehmen könne ihn aber immer gleich einspielen. „Obwohl dies nicht IBMs übliche Praxis ist, haben wir in diesem speziellen Fall darum gebeten, einige der Details zu dem Exploit wegzulassen, um anfällige Nutzer zu schützen und ihnen Zeit zum Patchen zu geben.“
Die Veröffentlichung von Proof-of-Concept-Code ist ein hilfreiches Angebot insbesondere für andere Sicherheitsforscher, die sich mit Schwachstellen im gleichen Produkt befassen. IBMs Sorge um die Kunden ist lobenswert, seine Rhetorik aber zweifelhaft, deutet es doch an, der Sicherheitsforscher gefährde die Nutzer, der ja im Gegenteil auf die bereits bestehende Gefahr erst hingewiesen hat. Auf lange Sicht wird ein Softwareanbieter, der sich so verhält, sein Verhältnis zur Security-Community nicht gerade verbessern können.
[mit Material von Charlie Osborne, ZDNet.com]
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
