根據(jù)協(xié)調(diào)漏洞披露的規(guī)則，并不總是意味著完全披露。不久前，安全研究人員發(fā)現(xiàn)IBM WebSphere應用服務(wù)器中的嚴重漏洞，而后IBM要求研究人員從其完全披露公開郵件列表公告中移除該POC代碼。

根據(jù)意大利安全研究人員Mausizio Agazzini的安全公告顯示，這個漏洞涉及IBM的WebSphere應用服務(wù)器反序列號不受信任數(shù)據(jù)的方式。該漏洞可能允許攻擊者通過資源耗盡執(zhí)行拒絕服務(wù)攻擊，導致遠程代碼執(zhí)行。

該漏洞被定為CVE-2016-5983，CVSS基本分數(shù)為7.5，表明這是高度嚴重漏洞。

Agazzini是@Mediaservice.net S.r.l.意大利信息安全公司安全研究人員，他遵循負責任披露規(guī)則，在8月底將該漏洞報告給IBM公司。Agazzini對IBM的要求感到驚訝：“在與IBM有關(guān)該漏洞的溝通過程中，他們從未要求我們不要發(fā)布信息或者延遲該公告。”

“我們理解這是保護其客戶的做法，但有關(guān)該漏洞的所有信息已經(jīng)由IBM發(fā)布，即使沒有我們的代碼/公告，攻擊者也能夠在任何情況下利用這個漏洞，”Agazzini稱，并補充說，他期望在未來某個時候重新發(fā)布這個POC代碼。

對于刪除POC代碼，Agazzini稱，不發(fā)布它并不會提高客戶安全性。“我不認為不發(fā)布POC會讓客戶更加安全；而是相反。就我個人而言，我認為很多客戶不會更新系統(tǒng)，因為網(wǎng)絡(luò)中沒有可行的漏洞利用。”

原始安全公告在單獨文件中包含概念證明（POC）代碼，以及示例攻擊會話的簡要說明。IBM要求從公告中移除POC代碼以及描述示例攻擊會話的部分，所以POC代碼從該文件中移除，并替換為文本信息：“該存檔已經(jīng)按照IBM要求暫時刪除。”然而，描述示例攻擊會話的部分仍然保留。

當IBM的要求在Twitter公開時，這在信息安全社區(qū)引起一些憤怒。但并不是所有人都這么認為。

“我認為公眾的反應太過度，且沒有根據(jù)，并沒有律師參與其中，也沒有威脅，”Fidelis Cybersecurity公司威脅系統(tǒng)經(jīng)理John Bambenek稱，“IBM的舉動似乎是合理的要求，這個要求可能被拒絕。對這個要求的過度反應可能讓企業(yè)對研究人員不再那么開放，這是需要思考的問題。”

根據(jù)發(fā)言人表示，IBM“及時”為這個漏洞創(chuàng)建、測試并發(fā)布了補丁。然而，“雖然現(xiàn)在已提供修復程序，我們了解很多企業(yè)并不能總是立即安裝修復程序。因此，我們要求移除具體漏洞利用詳細信息，以保護弱勢用戶，讓他們有時間客戶修復。”

“IBM似乎認為漏洞利用細節(jié)會帶來風險，因為并不是每個人都可以立即修補，并且考慮到WebSphere在企業(yè)中如何使用，”Bambenek稱，“如果雙方都積極合作，那么IBM的要求并沒有什么問題。”

并非所有人都認為IBM的做法符合協(xié)調(diào)漏洞披露。

“我不認為這是合理的要求，”公共私營研究機構(gòu)Fundacion Dr. Manuel Sadosky信息通信技術(shù)安全項目主管Ivan Arce稱，“他們要求對別人的研究工作作出編輯決定，在我看來，他們沒有權(quán)力這樣做。”

雖然長期以來，供應商通常都會要求研究人員編輯其研究結(jié)果來移除概念證明漏洞利用細節(jié)，Arce稱，更為常見的是企業(yè)軟件安全做法不成熟，在IBM的情況下，這著實有些令人驚訝，因為他們對漏洞研究和報告的做法并不陌生。

“這肯定會對報告漏洞的研究人員及其雇主帶來負面影響，”Arce稱，“但進一步試圖通過法律手段或者公共修復來盛飯漏洞研究人員會適得其反，正如過去發(fā)生過的那樣。”