Rissone Ruggero ha scritto:
Leggendo una delle ultime news di Securiteam, m'e' caduto l'occhio su
questa
NGSSoftware Insight Security Research Advisory
Name: Oracle TNS Listener DoS and/or remote memory inspection
Systems Affected: Oracle 8.1.7.4, 10g Release 2 and 1, Oracle 9
Severity: High
Vendor URL: http://www.oracle.com/
Author: David Litchfield [ [EMAIL PROTECTED] ]
Reported: 22nd June 2006
Date of Public Advisory: 17th October 2007
Advisory number: #NISR17102007C
Mi ha stupito come un bug con severita' alta venga risolto solo dopo
oltre 1 anno dalla sua notifica al vendor.
La mia domanda e' : esiste qualche norma/regola/direttiva che impone al
vendor di risolvere una data vulnerabilita' in un tempo ritenuto
ragionevole, o in questi casi ci si affida alla comunicazione
confidenziale dal vendor ai suoi clienti circa la vulnerabilita',
affinche' vengano predisposte altre contromisure ?
si e no , dipende dal contratto di manutenzione e/o di assistenza in essere.
se l'errore rende il prodotto inservibile ovvero non rispondente alle
promesse iniziali in tal caso esistono degli obblighi precisi, negli
altri casi no.
ma tutto dipende dai contratti di licenza o comunque di acquisizione del
prodotto.
la problematica รจ complessa ma non inaffrontabile, bisogna analizzare
caso per caso.
rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
