Megjelent az Oracle negyedéves frissítőcsomagja, amely összesen 66 javítást tartalmaz a cég termékeihez, beleértve az egykori Sun szoftvereit is. Az Oracle tanácslatai általában nem túl bőbeszédűek, ezért ritkán adok hírt róluk, de most megragadta a figyelmemet egy érdekesség:

A hivatalos blogposzttal és hibalistával együtt befutottak a ZDI figyelmeztetői is, melyekben azokat a hibákat részletezik, melyekről a sebezhetőség-kutatási programon keresztül szerzett tudomást az Oracle. Itt szóba kerül például a CVE-2010-3600 azonosítóval ellátott, az Enterprice Manager Grid Controlt érintő probléma, amely az Oracle szerint 7.5, a ZDI szerint viszont 10 CVSS ponttal rendelkezik (ez a skála használatos a hibák súlyosságának jellemzésére, a magasabb pontszám jelent durvább hibát). 

A különbséget az okozza, hogy míg a ZDI szerint a sebezhetőség az érintett rendszerek bizalmasságát, integritását és rendelkezésreállását is teljes mértékben befolyásolja (Complete besorolás), addig az Oracle ezen paraméterek meghatározásakor egy saját kategóriát, a Partial+-t alkalmazta. Az Oracle dokumentációja szerint

Partial - az exploit az erőforrások egy szűk rétegét, például egy adatbázis néhány tábláját érinti

Partial+ - az exploit a erőforrások széles rétegét, például az öszes adatbázistáblát, vagy egy teljes alrendszert érinti

A Complete kategóriába sorolt sebezhetőségek a NIST definiciói szerint a rendszer összes erőforrásához (összes rendszerfájl, teljes memória) hozzáférést engednek, a Partial hivatalos definiciója lényegében megegyezik az Oracle-ével. 

A cég ezen kívül leírja, hogy az üzemeltetőnek kell eldöntenie, hogy a Partial+ érintettségű csoportokat a saját rendszerében teljes (Complete) vagy részleges (Partial) érintettségűnek tekinti - kérdés, hogy hányan olvassák el ezt a tájékoztatót... 

A konkrét sebezhetőség leírása szerint tetszőleges fájl feltölthető a kiszolgálóra egy JSP szkripten keresztül, és mivel a HTTP kiszolgáló JSP feldolgozást is végez, a kódfuttatás triviálisan elérhető, így az a legfőbb kérdés, hogy milyen jogosultságokkal fut maga a kiszolgáló. A szoftver dokumentációja függelékben tér ki rá, hogy milyen *NIX-on felhasználókat és csoportokat kell létrehozni a telepítéshez, gyakorlati szempontból ugyanakkor kiváló alkalomnak tűnik a 2.5 órás telepítési idő levágására ennek a lépésnek az átugrása, Windowsra vonatkozó iránymutatást pedig egyáltalán nem találtam - innentől kezdve a magam részéről nem fűznék nagy reményeket hozzá, hogy a jól beállított privilégiumszintek fogják megállítani a támadót, és akkor még a különböző privilégiumemelési módszerekről nem is beszéltünk! (A telepítést nem csináltam meg, bármilyen első kézből származó infót szívesen veszek!)

Szóval aki Oracle termékeket üzemeltet, jó ha tisztában van vele, hogy a cég szereti "optimistán" megítélni a problémák súlyosságát, ami a biztonsági szakmában legtöbbször nem nyerő hozzáállás, általános szabályként pedig megfogalmazható, hogy a >=7.0 CVSS pontszámokra érdemes kiemelt figyelmet fordítani.