English

SE-2013-01 Komunikacja z producentami

Ta strona prezentuje informacje dot. przebiegu komunikacji z producentami oprogramowania w których produktach Security Explorations wykryło błędy bezpieczeństwa.

Podsumowanie procesu komunikacji:

  • 31-Sty-2014
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do Oracle (błędy 1-28).
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonych błędów w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
  • 02-Lut-2014
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do Oracle (błędy 29-30).
  • 03-Lut-2014
- Oracle potwierdza poprawne odszyfrowanie drugiego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonych błędów w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
  • 12-Lut-2014
- Oracle potwierdza zgłoszone błędy 1-30 i przesyła przypisane do nich numery. Firma informuje, że będzie dostarczać aktualne informacje o stanie prac nad poprawkami do błędów około 24 dnia każdego miesiąca.
  • 27-Lut-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 24 z nich zostały opracowane poprawki. Pozostałe 6 błędów jest nadal przedmiotem analizy / opracowywania stosownych poprawek. Firma informuje również, że zidentyfikowane błędy dotyczą warstwy infrastruktury chmury oraz określonych produktów. Dla błędów w produktach, Oracle planuje udostępnić stosowne poprawki w ramach kolejnego Critical Patch Update (CPU). W przypadku słabości w warstwie infrastruktury chmury, firma prowadzi prace zmierzające do ich poprawienia i wdrożenia we wszystkich udostępnianych klientom środowiskach.
  • 28-Lut-2014
- Security Explorations prosi Oracle o informacje w przypadku kiedy oba centra danych US1 i EMEA1 będą odporne na wszystkie zgłoszone błędy bezpieczeństwa lub jakiekolwiek oprogramowanie firmy będzie zawierało poprawki do zgłoszonych słabości (dot. oprogramowania udostępnionego przed terminem CPU).
  • 20-Mar-2014
- Oracle informuje, ze firma udostępnia informacje o bledach wszystkim klientom w tym samym czasie i nie publikuje błędów jeśli zostały one poprawione w jednej wersji oprogramowania, ale nie w pozostałych wspieranych wersjach. Firma informuje również, ze nadal pracuje nad polityką obsługi zgłoszeń błędów dot. środowiska chmury. Firma powiadomi Security Explorations w przypadku kiedy oba centra danych US1 i EMEA1 będą odporne na zgłoszone błędy, jednakże nie może tego obiecać w przyszłości.
  • 11-Kwi-2014
- Oracle przesyła szczegółowy raport o stanie prac nad poprawkami w nawiązaniu do zbliżającego się terminu Critical Patch Update. Firma informuje, że wszystkie 30 błędów zostało poprawionych w środowisku Java Cloud 13.2 i wersjach wyższych. Dla wersji środowiska Java Cloud 13.1, wszystkie słabości umożliwiające uzyskanie dostępu do danych użytkownika przez innego użytkownika zostały poprawione (błędy 18, 19, 21, 22, 23, 26, 29, 30). Do czasu uaktualnienia oprogramowanie Java Cloud 13.1 do wersji 13.2, wszystkie pozostałe słabości zostały unieszkodliwione z pomocą zabezpieczeń dostępnych na poziomie VM, OS lub warstwy sieciowej. W nawiązaniu do błędu 25, oprogramowanie JDK jest aktualizowane do nowszej wersji i Oracle poinformuje o zakończeniu tego procesu. Dla błędu 26 (zdalna słabość serwera Weblogic), stosowne poprawki zostaną udostępnione dla wszystkich wersji oprogramowania i klientów za pośrednictwem kwietniowego CPU. Oracle informuje, że będzie nadal śledził postęp prac dot. pozostałych słabości dopóki nie zostaną poprawione we wszystkich wersjach środowiska Java Cloud i u wszystkich klientów. Firma deklaruje, że będzie kontynuować przesyłanie comiesięcznych raportów o stanie prac.
  • 17-Kwi-2014
- Oracle informuje, że błąd 25 został poprawiony w środowisku Java Cloud 13.1 (oprogramowanie JDK 1.6 zostało zaktualizowane do nowszej wersji).
  • 24-Kwi-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 20 błędów zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU, 1 błąd jest nadal przedmiotem analizy / opracowywania stosownej poprawki, a pozostałych 8 słabości zostało usuniętych poprzez zastosowanie zewnętrznych mechanizmów bezpieczeństwa.
  • 22-Maj-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 20 błędów zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU oraz że 1 błąd jest nadal przedmiotem analizy / opracowywania stosownej poprawki.
  • 28-Maj-2014
- Oracle informuje, że błędy 13-17 i 20 zostały zamknięte z uwagi na aktualizację Java Cloud 13.1 do nowszej wersji. Pozostałe słabości dot. klientów środowiska zostaną poprawione po udostępnieniu stosownych poprawek za pośrednictwem przyszłego Critical Patch Update.
  • 24-Cze-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 15 błędów zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU.
  • 11-Lip-2014
- Oracle przesyła raport o stanie prac nad poprawkami w nawiązaniu do planowanej publikacji CPU. Firma informuje, że poprawki do 15 błędów (błędy 1-12, 24, 27-28) zostaną udostępnione w ramach aktualizacji CPU, która zostanie opublikowana 15 lipca 2014.
  • 30-Paź-2015
- Security Explorations prosi Oracle o przesłanie informacji o numerach CVE odpowiadających błędom zgłoszonym w ramach projektu SE-2013-01 (błędy 1-30).
- Oracle informuje, że firma zbierze wymagane informacje i się wtedy odezwie.
  • 02-Lis-2015
- Oracle przesyła numery CVE dla błędów 3-7, 9-12, 24 oraz 26-28. Firma informuje, że słabości którym nie przypisano identyfikatora CVE dotyczyły jedynie jej środowiska chmury (błędy 13-23, 25 oraz 29-30).

Copyright 2008-2017 Security Explorations. All Rights Reserved.