Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Oracle: A hibát egy következő kiadásban fogjuk javítottuk

2012.04.26. 12:30 | buherator | Szólj hozzá!

Az Oracle legutóbbi CPU-ja kapcsán számoltam be Joxean Koret TNS mérgezéses felfedezéséről, azt állítva, hogy a problémát a negyedéves javítás megoldotta. Nos, úgy tűnik ez nem igaz, Koret mai levelében ugyanis kifejti, hogy az Oracle a hibát nem javította, de azért ügy4esen mellébeszélt.

A gyanú a gyártó és a felfedező között zajló levelezés egyik mondata miatt merült fel, amit valahogy úgy lehetne fordítani, hogy a hiba a termék egy jövőbeni kiadásában volt kijavítva ("was fixed in future releases of the product").

Miután Koret magyarázatot kért a tér-idő görbületre, az Oracle kifejtette, hogy a TNS mérgezés megoldása igen bonyolult, és megjósolhatatlan problémákat okozna termelési környezetben, ezért a javítás csak az RDBMS valamelyik eljövendő kiadásában lesz elérhető (hogy melyikben, azt a gyártó a felhasználók érdekeire hivatkozva nem árulja el), a CPU viszon nem oldja meg a problémát. Ennek ellenére a CPU egyértelműen a TNS Poinsoningre vonatkozó hibajegyre hivatkozik, és hibát értékesítő iSightPartners felé is az lett kommunikálva, hogy a CPU ezt a hibát javítja. 

Következmény: Legalább az Oracle RDBMS következő verziójának megjelenéséig, a 8i-től kezdve működik a TNS mérgezés, a CPU helyett elkerülő megoldások alkalmazandók.

Friss: Az Oracle figyelmeztetést adott ki az esettel kapcsolatban, a problémához a CVE-2012-1675 azonosítót rendelték

Címkék: oracle 0day tns poisoning joxean koret

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.