IBM räumt ein, Druck auf einen Sicherheitsforscher ausgeübt zu haben, damit er einen Exploit-Code für eine Schwachstelle in IBM-Produkten zurückzog. Der von Maurizio Agazzini nach den üblichen Regeln gemeldete Fehler CVE-2016-5983 steckt in IBM Websphere, und zwar in dessen Versionen 7, 8, 8.5 sowie 9.
IBM war mit dieser Offenlegung nicht einverstanden und forderte von Agazzini, Details des Exploits zu entfernen. Diese E-Mail veröffentlichte ein Kollege von Agazzini via Twitter. Sie ist zwar als Bitte formuliert, aber in einem scharfen Ton gehalten. IBM wolle seine Kunden keinem Risiko aussetzen, steht dort, und eine solche Veröffentlichung gefährde sämtliche Kunden. Eine schnelle Reaktion und Entfernen des Codes sei wünschenswert.
Die Schwachstelle steckt im Applikationsserver von Websphere. Ist der Cookie WASPostParam gesetzt, akzeptiert er Daten aus nicht vertrauenswürdigen Quellen, was sowohl Denial-Of-Service-Angriffe (DoS) als auch Remote-Codeausführung zulässt.
Den Angriffscode hat Agazzini entfernt. Seine Beschreibung eines erfolgreichen Angriffs ermöglicht es technisch bewanderten Nutzern aber, selbst solchen Code zu schreiben.
Gegenüber The Register rechtfertigte IBM sein Verhalten mit dem Hinweis, ein Patch liege zwar vor, nicht jedes Unternehmen könne ihn aber immer gleich einspielen. „Obwohl dies nicht IBMs übliche Praxis ist, haben wir in diesem speziellen Fall darum gebeten, einige der Details zu dem Exploit wegzulassen, um anfällige Nutzer zu schützen und ihnen Zeit zum Patchen zu geben.“
Die Veröffentlichung von Proof-of-Concept-Code ist ein hilfreiches Angebot insbesondere für andere Sicherheitsforscher, die sich mit Schwachstellen im gleichen Produkt befassen. IBMs Sorge um die Kunden ist lobenswert, seine Rhetorik aber zweifelhaft, deutet es doch an, der Sicherheitsforscher gefährde die Nutzer, der ja im Gegenteil auf die bereits bestehende Gefahr erst hingewiesen hat. Auf lange Sicht wird ein Softwareanbieter, der sich so verhält, sein Verhältnis zur Security-Community nicht gerade verbessern können.
[mit Material von Charlie Osborne, ZDNet.com]
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
