Путаница вокруг уведомления компании, привела к обнародованию неисправленной уязвимости.
Исследователь информационной безопасности ошибочно опубликовал инструкцию по эксплуатации бреши в Oracle Database Server, полагая, что компания выпустила исправление, устраняющую эту уязвимость. По данным эксперта, ее можно использовать для перехвата информации между клиентами и базой данных.
В квартальном бюллетене Oracle (Critical Patch Update), опубликованном 17 апреля, была указана информация о том, что компания благодарит исследователя Джоксеана Корета (Joxean Koret) за оказанное содействие при исправлении уязвимостей. Также сообщалось, что он предоставил информацию о бреши через компанию iSIGHT Partners.
По словам Корета, он не тестировал уязвимость после выпуска исправления, поскольку решил, что компания исправила ее. В связи с этим исследователь опубликовал подробное описание бреши и методов ее эксплуатации. Позже в ходе переписки с представителями Oracle он понял, что исправление еще не реализовано и будет выпущено позже. Разработчик уязвимого продукта пояснил, что исправление требует тщательной работы, и его бэкпортирование может привести к появлению других проблем.
В настоящий момент Корет добавил к описанию бреши несколько способов снижения риска компрометации. Так, исследователь предлагает отключить функцию удаленной регистрации в компоненте TNS Listener. Это можно сделать, изменив настройки «dynamic_registration = off» в файле конфигурации listener.ora.
Ладно, не доказали. Но мы работаем над этим