Oracles Security Alert hat nicht nur bei uns zu grösseren Aufwänden geführt, am schlimmsten war aber die Drohung von NGSSoftware, am 31. November (nb: der November hat 30 Tage) genauere Informationen zu veröffentlichen, verbunden mit der Meinung vieler Leute bei uns, dass sich mit diesen Informationen Oracle Exploits programmieren lassen, welche ohne gültigen Oracle- oder wenigstens lokalen User auskommen. Der Dezember kam, aber keine Informationen von NGSS. Erst jetzt ist die Katze aus dem Sack: NGSSoftware Oracle Vulnerabilities. Einige der Vulnerabilities betreffen den External Procedures Listener, und seien ohne Authentisierung exploitable! Ich kann es nur immer wieder sagen: extproc muss unter Unix als nobody:nobody laufen (ab Oracle 10g der Default)!
Und weshalb hat David Litchfield die Information erst jetzt veröffentlicht? Niemand weiss es, aber offensichtlich sind die Jungs von NGSS schon wieder im Urlaub, denn die angegebenen Links zu den Informationen auf ihrer Homepage funktionieren nicht – bisher gibt’s nur das Mailarchiv als Referenz.