Oracle non corregge una vulnerabilità

Oracle ha deciso di non correggere una vulnerabilità al TNS listener presente nelle versioni 10g e 11g del proprio database. Gli utenti sono quindi invitati ad adottare il workaround descritto in un Security Alert.

Oracle ha detto chiaramente che la correzione costerebbe troppo:
- http://www.h-online.com/security/news/item/No-patch-for-critical-Oracle-database-vulnerability-1649106.html

Ecco le lezioni che si traggono da questa notizia:
- in ambito ITIL e ISO/IEC 20000: un ottimo esempio per spiegare le definizioni di workaround, problema, known error e soluzione di un problema
- in ambito sicurezza: un ottimo esempio del fatto che non è possibile accontentarsi dei patch e dei fix pubblicati dai produttori, ma è anche necessario leggere i bollettini, le newsletter e i security alert per vedere se ci sono dei workaround da adottare.

Ringrazio Vito Losacco che mi ha inoltrato la newsletter Minded Security Early Warning del Minded Security Research Lab su cui era riportata questa notizia.