Oracle срочно выпустила бюллетень, посвященный блокировке четырехлетней уязвимости
dl // 01.05.12 21:12
Об уязвимости, позволяющей перехватывать информацию, которой обмениваются клиенты и серверы баз данных, в Oracle узнали аж в 2008 году.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/05/03.html]
Обнаруживший ее тогда Джоксин Корет (Joxean Koret) ошибочно решил, что она исправлена в последнем квартальном обновлении, причем без упоминания его имени, после чего опубликовал детали использующей ее атаки.
Однако на самом деле эта уязвимость не была закрыта, что довольно неприятно, поскольку она может быть использована удаленно и без аутентификации. Oracle пришлось срочно выпустить пошаговые инструкции, позволяющие минимизировать ущерб.
Переводя на русский язык, Oracle не хватило четырех лет, чтобы исправить крайне неприятную уязвимость, и для того, чтобы хоть как-то сдвинуться с места, потребовалось это разглашение по ошибке. Довольно мило - на фоне недавних утверждений о зрелости Database Server, в котором уже нечего исправлять.