由於被告知後拒絕修補，安全研究人員今日發布了影響IBM磁盤風險管理（IDRM）這款企業安全工具的四個零日漏洞。據悉，IDRM能夠匯總來自漏洞掃描工具和其它風險管理工具的提要，以便管理員調查安全問題。正如Agile信息安全公司研究主管Pedro Ribeiro所指出的那樣，IDRM是一款能夠處理相當敏感信息的企業安全產品。

遺憾的是，有關IDRM 產品本身的漏洞，卻可能導致企業遭受全面的損害。因其具有訪問其它安全工具的憑據，更別提匯總了有關企業的關鍵漏洞信息。

Ribeiro 表示，其在IDRM 中發現了四個漏洞，並且與CERT / CC 計算機安全響應團隊合作，通過官方披露程序向IBM 匯報了這些問題。

然而即便被告知四個漏洞的嚴重性，IBM 方面的回應卻有些匪夷所思—— 該產品僅用於客戶的’增強’支持，在評估之後，我們不認為他在漏洞披露程序的範圍之內。

我司已在https://hackerone.com/ibm上概述了相關政策，想要獲得該項目的參與資格，你不能在提交前六個月、根據合同對IBM公司或客戶執行安全性測試。

直到今天，研究人員仍不明白IBM 為什麼要擺出這樣一副態度：

為何IBM 拒絕接受免費的詳細漏洞報告？

IBM 的回應到底是什麼意思？是該公司僅接受來自客戶的漏洞報告嗎？

還是說該產品並不在支持範圍內？若如此，為何還要出售給新客戶？

要知道它們銷售的可是企業級的安全產品啊！怎麼還能如此不負責任呢

Ribeiro 補充道：“作為一家市值數十億美元、向世界級大企業出售安全產品和諮詢業務的公司，IBM 的回應實在讓人難以置信”。

鑑於IBM 無意修補這些漏洞，Agile 方面決定在GitHub 上公佈四個漏洞的詳細信息，以敦促使用該產品的企業採取防範任何攻擊的緩解措施。

（1）攻擊者可繞過IDRM 的身份驗證機制；

（2）IDRM API 中有一個注入點，或被攻擊者在應用程序上執行自己的命令；

（3）a3user/idrm 使用了硬編碼的用戶名和密碼組合；

（4）API 中的漏洞或允許遠程攻擊者從IDRM 設備上下載文件。

【更新】在今日發給ZDNet 的一封電子郵件中，IBM 終於遺憾地承認了此事，並聲稱相關補丁正在開發過程中。