Barrapunto

Realmente no han arreglado la falla. La historia la explico con detalle aquí [seclists.org] y aquí [seclists.org].

En resumen lo que ha ocurrido es lo siguiente: En el Critical Patch Update de Abril de este año (los parches de seguridad), Oracle me da crédito por una vulnerabilidad que "han corregido". Pregunto a Oracle y la empresa a la que le vendí la vulnerabilidad en su día y me dicen que la falla es exactamente esta, la que yo llamo TNS Poison. Como ya está corregida, decido que es preferible publicar datos de explotación y como protegerse de ella en caso de que se tenga una versión vieja de la base de datos o, simplemente, no se quiera o pueda actualizar.

Sin embargo, en los correos que intercambio con Oracle, releo una frase curiosa en la que me dicen que la vulnerabilidad "have been fixed in later versions of the product" ("ha sido corregida en futuras versiones del producto"). Como no creo que en Oracle tenga un delorean... les pregunto a ver que quiere decir esa frase. Me responden con evasivas y les vuelvo a preguntar, claramente, si han corregido la falla y en que versiones. Me responden con más evasivas y, finalmente, decido que es preferible avisar a todo el mundo que la vulnerabilidad no ha sido corregida, como ellos decían. Realmente, lo que habían hecho era corregirla en su versión en desarrollo. Pero queda más "guay" decir que ya está corregida.

He de añadir, eso sí, que siendo Oracle, no me extraña nada esta confusión. Os recomiendo que hagáis reversing de los parches que Oracle saca cada CPU. Ya veréis cuantos 0days sacáis en unas horas.