Da oggi sono pubblicamente disponibili i dettagli di 4 vulnerabilità della piattaforma software IBM Data Risk Manager (precedentemente Agile 3 Solutions, acquisita negli ultimi anni e immediatamente messa a disposizione del mondo enterprise). Il problema attorno a queste vulnerabilità sembra essere però più che altro burocratico, poiché la pubblicazione fa seguito ad una diatriba che ha visto IBM rifiutare la segnalazione preventiva dei dettagli relativi ai bug.
IBM Data Risk Manager: 4 vulnerabilità
La scoperta dei quattro problemi nella versione 2.0.3 della IBM Data Risk Manager (IDRM, oggi arrivata alla versione 2.0.6) è firmata dal ricercatore di sicurezza Pedro Ribeiro (Agile Information Security): è sua la segnalazione secondo le direttive dell’iniziativa di bug bounty portata avanti da IBM (qui i dettagli). Almeno inizialmente si trattava di una disclosure responsabile, insomma, evitando problemi alla clientela e potendosi assicurare le somme di denaro garantite dal gruppo a ringraziamento delle segnalazioni ricevute. IBM, però, ha rifiutato tale segnalazione: formalmente il fatto che il ricercatore fosse sotto contratto con una azienda che assicurasse la possibilità di test sui software IBM rappresenta un fattore che inibisce la possibilità di accedere al programma di bug bounty. Un requisito non era assolto, insomma: richiesta respinta.
L’esito? Disclosure pubblica immediata: i dettagli sui bug sono stati pubblicati, in parte per rendere manifeste quattro vulnerabilità che sarebbero state altrimenti sottaciute, in parte probabilmente anche per forzare la situazione. Poche ore più tardi IBM è tornata sui suoi passi, criticando l’operato di quanti hanno processato la segnalazione ricevuta, ed ha annunciato lavori immediati per mitigare il rischio prima e risolvere i quattro problemi poi.
Ti potrebbe interessare
22 apr 2020