編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

IBM、自社製品の脆弱性実証コードを非開示にするようセキュリティ研究者に要求

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2016-10-18 16:15

 IBMが、自社製品の脆弱性の実証コードを公開した研究者に指示を出していたことが明らかになった。IBMもこれを認めている。

 Maurizio Agazzini氏はIBMと連携し、IBMの製品が関連する脆弱性に関して責任ある開示を行った。開示した脆弱性はCVE-2016-5983で、「IBM WebSphere」のバージョン7、8、8.5、9が影響を受ける。だがAgazzini氏は、脆弱性を修正するパッチが顧客にリリースされた後、内容の一部を削除するようIBMより指示を受けた。

 Agazzini氏は先週、脆弱性を開示した際、開示した内容の一部に実証コードパッケージへのリンクを入れていた。このセキュリティ欠陥を解決するためにIBMと2カ月間連携した後にリリースされたものだ。

 だが、IBMはAgazzini氏の考えを良しとせず、実証コードの詳細を削除してリリースするよう要求した。

 Agazzini氏の同僚の1人が、Agazzini氏に送られたメールのコピーをTwitterに投稿し、IBMの要求内容を明らかにした。


IBMの要求内容。Agazzini氏の同僚がTwitterで公開した。

 弁護士を呼んで訴訟の準備をするほどのことはないかもしれない。だが、Agazzini氏はIBMと協業して脆弱性などの問題を修正し、顧客にソリューションが導入された後に開示したということを考えると、高圧的といってよいだろう。

 IBMの要求を受け、セクション5のパッケージ化された実証コードは削除された。一方で、セクション2は残っており、その内容は以下のようなものだ。

 攻撃は以下の手順で再現できる。

  • カスタム形式の認証にてアプリケーションを構築する。
  • ログイン後、アプリケーションサーバによってLtpaToken2が設定される。
  • WASPostParamクッキーを含むHTTP GETリクエストを行う。

 一方で、アドバイザリには自身で実証コードを書くのに十分な情報が現在も含まれている。IBMはThe Register宛ての声明で次のようにコメントしている。

パッチは公開されているものの、すぐにパッチを適用できない企業が多数あることをわれわれは認識している。

IBMは通常このようなやり方をしないが、この特別なケースでは、脆弱な状態にあるユーザーを保護し、ユーザーがパッチをあてる時間を取るために、実証コードの詳細の一部を編集するよう求めた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]