IBM、自社製品の脆弱性実証コードを非開示にするようセキュリティ研究者に要求IBMが、自社製品の脆弱性の実証コードを公開した研究者に指示を出していたことが明らかになった。IBMもこれを認めている。 Maurizio Agazzini氏はIBMと連携し、IBMの製品が関連する脆弱性に関して責任ある開示を行った。開示した脆弱性はCVE-2016-5983で、「IBM WebSphere」のバージョン7、8、8.5、9が影響を受ける。だがAgazzini氏は、脆弱性を修正するパッチが顧客にリリースされた後、内容の一部を削除するようIBMより指示を受けた。 Agazzini氏は先週、脆弱性を開示した際、開示した内容の一部に実証コードパッケージへのリンクを入れていた。このセキュリティ欠陥を解決するためにIBMと2カ月間連携した後にリリースされたものだ。 だが、IBMはAgazzini氏の考えを良しとせず、実証コードの詳細を削除してリリースするよう要求した。 Agazzini
