安全研究人员及产品厂商之间的紧张关系再度引爆。网络安全设备商Fortinet批评安全厂商Rapid 7未遵守业界通用的漏洞通报90天保密期,在还没到90天前就将Fortinet产品漏洞公诸于世。
本周Rapid 7公布Fortinet网页应用防火墙产品FortiWeb管理接口的漏洞。编号CVE-2021-22123的漏洞是一项OS指令注入漏洞,可让远程取得授权的攻击者通过SAML服务器组态页面执行任意指令。该漏洞风险值8.8,属于高风险漏洞,影响FortiWeb管理接口6.3.7以前、6.2.3以前及6.1.x, 6.0.x, 5.9.x版本。
Fortinet在6月曾发出安全公告,但是预定要到8月底才有修补程序发布。
Fortinet批评,Rapid 7在6月发现这个漏洞,却在不到90天就公诸于世,违反了Fortinet漏洞披露政策中,要求通报者在完整解决漏洞前保密的规定,使他们来不及发布修补程序。
但是Rapid 7指出,Fortinet公布的90天保密期是规范他们自己作为安全厂商的规定,他们和第三方安全研究人员的漏洞披露政策并未说明几天,于是Rapid 7采用自己的披露政策,保密漏洞信息60天。
Rapid 7研究总监Tom Beardsley对媒体表示,该公司于6月10日通报Fortinet,并在6月11日接获对方确认。之后该公司也曾多次试图联系,但皆未获得回应。于是60天一到,Rapid 7就公布了这个漏洞,而对方也说即将发布修补程序。
Rapid 7指出,目前未发现该漏洞被滥用的情形。在修补程序来到之前,用户应关闭未受信任,包括互联网连接访问FortiWeb管理接口。
这并非第一次安全厂商和其他网络或软件企业为公布漏洞而冲突。微软即多次因为Google Project Zero在它还没发布修补程前,便公布漏洞而感到不满,甚至演变成公布Google产品漏洞作为报复。