IBM vraagt onderzoeker demonstratie kwetsbaarheid offline te halen

Een demonstratie van een exploit voor een kwetsbaarheid in de IBM WebSphere is op verzoek van IBM offline gehaald. Het bedrijf stelt dat de demonstratie de veiligheid van haar klanten in gevaar brengt.

Het gaat om een publicatie van beveiligingsonderzoeker Maurizio Agazzini, die een kwetsbaarheid heeft opgespoord in IBM WebSphere. Dit is middleware waarmee onder andere applicaties kunnen worden geïntegreerd in andere software. IBM is door Agazzini in augustus op de hoogte gesteld van het probleem, waarna op 5 oktober een patch werd uitgebracht en het lek werd gedicht. Agazzini besloot enkele dagen later een proof-of-concept van de exploit online te publiceren op de Full Disclosure mailinglijst.

IBM is hier echter niet gelukkig mee en stelt dat deze publicatie de veiligheid van haar klanten in gevaar brengt. Het bedrijf stelt dat de patch weliswaar het beveiligingsprobleem verhelpt, maar deze patch niet door alle klanten direct kan worden uitgerold. Het bedrijf bevestigd daarom tegenover The Register Agazzini verzocht te hebben de demonstratie offline te halen. Agazzini heeft overigens gehoor gegeven aan dit verzoek.