Fortinet抨击安全厂商在90天保密期限前就揭露其产品漏洞

安全研究人员及产品厂商之间的紧张关系再度引爆。网络安全设备商Fortinet批评安全厂商Rapid 7未遵守业界通用的漏洞通报90天保密期，在还没到90天前就公诸于世。

本周Rapid 7公布Fortinet网页应用防火墙产品FortiWeb 管理界面的漏洞。编号CVE-2021-22123的漏洞是一项OS指令注入漏洞，可让远端取得授权的攻击者透过SAML服务器组态页面执行任意指令。该漏洞风险值8.8，属于高风险漏洞，影响FortiWeb管理界面6.3.7以前、6.2.3以前及6.1.x, 6.0.x, 5.9.x版本。

Fortinet 在6月曾发出安全公告，但是预定要到8月底才有修补程式释出。

Fortinet批评，Rapid 7在6月发现这个漏洞，却在不到90天就公诸于世，违反了Fortinet漏洞揭露政策中，要求通报者在完整解决漏洞前保密的规定，使他们来不及释出修补程式。

但是Rapid 7指出，Fortinet 公布的90天保密期是规范他们自己作为资安厂商的规定，他们和第三方安全研究人员的漏洞揭露政策并未说明几天，于是Rapid 7采用自己的揭露政策，保密漏洞资讯60天。

Rapid 7研究总监Tom Beardsley对媒体表示，该公司于6月10日通报Fortinet，并在6月11日接获对方确认。之后该公司也曾多次试图联系，但皆未获得回应。于是60天一到，Rapid 7就公布了这个漏洞，而对方也说即将释出修补程式。

Rapid 7指出，目前未发现该漏洞被滥用的情形。在修补程式来到之前，用户应关闭未受信任，包括互联网连线存取FortiWeb管理界面。

这并非第一次安全厂商和其他网络或软件业者为公布漏洞而冲突。微软即多次因为Google Project Zero在它还没释出修补程前，便公布漏洞而感到不满，甚至演变成公布Google产品漏洞作为报复。