Leggendo una delle ultime news di Securiteam, m'e' caduto l'occhio su questa NGSSoftware Insight Security Research Advisory
Name: Oracle TNS Listener DoS and/or remote memory inspection Systems Affected: Oracle 8.1.7.4, 10g Release 2 and 1, Oracle 9 Severity: High Vendor URL: http://www.oracle.com/ Author: David Litchfield [ [EMAIL PROTECTED] ] Reported: 22nd June 2006 Date of Public Advisory: 17th October 2007 Advisory number: #NISR17102007C Mi ha stupito come un bug con severita' alta venga risolto solo dopo oltre 1 anno dalla sua notifica al vendor. La mia domanda e' : esiste qualche norma/regola/direttiva che impone al vendor di risolvere una data vulnerabilita' in un tempo ritenuto ragionevole, o in questi casi ci si affida alla comunicazione confidenziale dal vendor ai suoi clienti circa la vulnerabilita', affinche' vengano predisposte altre contromisure ? Saluti RR -------------------------------------------------------------------- CONFIDENTIALITY NOTICE This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to [EMAIL PROTECTED] Thank you www.telecomitalia.it --------------------------------------------------------------------
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
