Historias
Slashboxes
Comentarios
 

Login Barrapunto

Login

[ Crear nueva cuenta ]

Oracle TNS poison: 4 años para arreglar una vulnerabilidad

Entrada escrita por BitBoy y editada por Mu el Jueves, 03 Mayo de 2012, 13:29h   Printer-friendly   Email story
desde el dept. ipso-facto
A través de una al día llega hoy la noticia de que Oracle ha publicado a finales de abril una vulnerabilidad que fue reportada por el auditor de software Joxean Koret en el año 2008. La vulnerabilidad permitiría la realización de un ataque MITM entre el servidor de la base de datos y el cliente. Tal y como se describe en la noticia: "La vulnerabilidad reside en el servicio TNS Listener, encargado de gestionar el establecimiento de las comunicaciones entre las distintas instancias de la base de datos, sus servicios y el cliente. Por diseño y sin requerimiento de autenticación, cuando se procesa el registro de dos o más instancias de base de datos con el mismo nombre, el TNS Listener crea automáticamente un balanceador de carga entre todos los servidores de base de datos registrados. Por tanto, cualquier otro servidor que se añada a posteriori recibirá de manera prioritaria el tráfico de cualquier otro cliente de la red." La noticia completa, aquí.

Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • 4 años para decir que la ha arreglado

    (Puntos:2, Informativo)
    por joxeanpiti (13551) el Viernes, 04 Mayo de 2012, 08:53h (#1308267)
    ( http://barrapunto.com/ | Última bitácora: Domingo, 14 Febrero de 2010, 23:49h )
    Realmente no han arreglado la falla. La historia la explico con detalle aquí [seclists.org] y aquí [seclists.org].

    En resumen lo que ha ocurrido es lo siguiente: En el Critical Patch Update de Abril de este año (los parches de seguridad), Oracle me da crédito por una vulnerabilidad que "han corregido". Pregunto a Oracle y la empresa a la que le vendí la vulnerabilidad en su día y me dicen que la falla es exactamente esta, la que yo llamo TNS Poison. Como ya está corregida, decido que es preferible publicar datos de explotación y como protegerse de ella en caso de que se tenga una versión vieja de la base de datos o, simplemente, no se quiera o pueda actualizar.

    Sin embargo, en los correos que intercambio con Oracle, releo una frase curiosa en la que me dicen que la vulnerabilidad "have been fixed in later versions of the product" ("ha sido corregida en futuras versiones del producto"). Como no creo que en Oracle tenga un delorean... les pregunto a ver que quiere decir esa frase. Me responden con evasivas y les vuelvo a preguntar, claramente, si han corregido la falla y en que versiones. Me responden con más evasivas y, finalmente, decido que es preferible avisar a todo el mundo que la vulnerabilidad no ha sido corregida, como ellos decían. Realmente, lo que habían hecho era corregirla en su versión en desarrollo. Pero queda más "guay" decir que ya está corregida.

    He de añadir, eso sí, que siendo Oracle, no me extraña nada esta confusión. Os recomiendo que hagáis reversing de los parches que Oracle saca cada CPU. Ya veréis cuantos 0days sacáis en unas horas.
    --
    FreeBatasuna [blogspot.com].
    [ Responder ]