Frissítés: Most látom, hogy a hiba részletei is elérhetők egy ideje, ráadásul igen mókás sebezhetőségről van szó. Az Oracle embereinek persze nem vették túl jó néven Evgeny Legerov nem túl felelős nyilvánosságrahozatali módszerét...
Először ez előző Oracle-s posztot akartam frissíteni, de túl sok minden jött össze az utóbbi 24 órában:
- Az Oracle soron kívüli frissítést adott ki, de nem a DBMS-ben felfedezett probléma, hanem egy a WebLogic Server Node Manager komponensében távolról, autentikáció nélkül kihasználható sebezhetőség kapcsán. A tegnap bemutatott adatbázisszervert érintő probléma egyelőre javítatlan marad.
A BlackHat oldaláról eltávolították a David Litchfield elődásáról készült videót, de a lényegi részek természetesen már rég elérhetőek ezer más helyről. Nálam le is van töltve az anyag, ha nagyon nyaggattok lehet hogy feltolom majd valahova.A videó visszakerült.- Ahogy gadget egy kommentben megjegyezte, az Oracle 11g sebezhetősége a 10-as főverzióban is jelen van, de ezek a verziók nem tartalmazzák azt a Java metódust, amellyel a példában operációsrendszer parancsokat adtak ki. Alexander Kornburst szerint azért más úton ez ugyanúgy elérhető a régebbi verziókban is.
