English

SE-2014-01 Komunikacja z producentami

Ta strona prezentuje informacje dot. przebiegu komunikacji z producentami oprogramowania w których produktach Security Explorations wykryło błędy bezpieczeństwa.

Podsumowanie procesu komunikacji:

  • 16-Cze-2014
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do Oracle (błędy 1-20).
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonych błędów w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
  • 18-Cze-2014
- Oracle informuje, że firma nie potwierdziła jeszcze wszystkich zgłoszonych błędów, jednakże odnotowała je w swoim systemie i przesyła ich numery śledzące. Firma informuje również, że comiesięczne raporty o stanie prac będą dostarczane około 24 dnia każdego miesiąca.
  • 21-Cze-2014
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programem testującym zostają wysłane do Oracle (błędy 21-22).
  • 23-Cze-2014
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonych błędów w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
  • 24-Cze-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 6 błędów zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Pozostałych 14 słabości jest nadal przedmiotem analizy / opracowywania stosownych poprawek.
- Security Explorations prosi Oracle o uzupełnienie informacji dot. statusu 14 błędów (sformułowanie "będące przedmiotem analizy / opracowywania stosownych poprawek" wprowadza w błąd / nie zawiera informacji, czy dana słabość została potwierdzona). Firma informuje również Oracle, że otrzymany miesięczny raport o stanie prac i statusie dot. zgłoszonych błędów nie zawiera informacji o słabościach zgłoszonych 21 czerwca 2014.
- Oracle informuje, że firma nadal próbuje potwierdzić błędy 21 i 22, jednakże odnotowała je w swoim systemie i przesyła ich numery śledzące.
  • 25-Cze-2014
- Oracle przesyła wyjaśnienie informacji dot. statusu błędów ze swojego miesięcznego raportu. Firma informuje, że oznaczenie błędu jako będącego "nadal przedmiotem analizy / opracowywania stosownych poprawek" implikuje, że firma próbuje odtworzyć daną słabość i w następstwie opracować do niej stosowną poprawkę (niepotwierdzony błąd). Po poprawieniu danej podatności jej status jest zmieniony na błąd z "opracowaną stosowną poprawką, która zostanie udostępniona w ramach kolejnego CPU" (potwierdzony błąd).
- Security Explorations pyta Oracle, czy firma potrzebuje pomocy przy uruchomieniu otrzymanych kodów ilustrujących oraz czy potwierdzenie zgłoszonych błędów przez trzecią stronę taką jak US-CERT byłoby dla firmy pomocne. Security Explorations informuje Oracle, że oczekuje jasnego potwierdzenia, bądź odrzucenia informacji dot. pozostałych 16 błędów bez względu na stan prac nad poprawkami.
  • 26-Cze-2014
- Oracle informuje, że wszystkie 20 błędów zgłoszonych 16 czerwca 2014 zostało potwierdzonych. Firma pracuje nad potwierdzeniem dwóch pozostałych błędów z 21 czerwca 2014.
  • 07-Lip-2014
- Oracle informuje, że firma potwierdziła błędy 21 i 22 zgłoszone 21 czerwca 2014.
  • 11-Lip-2014
- W nawiązaniu do publikacji zapowiadającej CPU z lipca 2014, Security Explorations pyta Oracle o powód niewłączenia poprawek do błędów w maszynie wirtualnej Java bazy danych Oracle w skład tego CPU (dot. 6 błędów do których "zostały opracowane stosowne poprawki i które zostaną udostępnione w ramach kolejnego CPU" wg informacji o stanie prac i statusie dot. zgłoszonych błędów otrzymanym od Oracle 24 Cze 2014).
  • 14-Lip-2014
- Oracle informuje, że jego programista nie trzymał się normalnego procesu poprawy błędów i w pierwszej kolejności opracował poprawkę do wersji 12.1.0.2 oprogramowanie bazy danych. W rezultacie, status 6 słabości będących przedmiotem zapytania został błędnie określony z uwagi na brak ukończonej poprawki do wersji 12.2 (do błędów nie zostały opracowane stosowne poprawki w głównej gałęzi kodu).
  • 24-Lip-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 17 z nich zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Pozostałe 5 błędów jest nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 22-Sie-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 17 z nich zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Pozostałe 5 błędów jest nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 24-Wrz-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 18 z nich zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Pozostałe 4 błędy są nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 10-Paź-2014
- Oracle przesyła raport o stanie prac nad poprawkami w nawiązaniu do planowanej publikacji CPU. Firma informuje, że poprawki do wszystkich 22 błędów zostaną udostępnione w ramach aktualizacji Critical Patch Update, która zostanie opublikowana 14 października 2014.
  • 24-Paź-2014
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że aktualizacja Critical Patch Update została udostępniona dla wszystkich 22 zgłoszonych błędów.
  • 31-Paź-2014
- Security Explorations pyta Oracle o powody udostępnienia niekompletnej aktualizacji CPU dla platformy Windows (brakujące komponenty Oracle JavaVM dla wersji bazy danych 12.1.0.1.1, 11.2.0.3.1 i 11.1.0.7.1, których udostępnienie planowane jest dopiero 4 listopada 2014 wg informacji zawartej w Oracle Support Doc ID 1912224.1).
  • 03-Lis-2014
- Oracle odpowiada, że niekiedy firma udostępnia poprawki pod koniec miesiąca w którym opublikowany jest dany CPU. W rezultacie niektóre poprawki zostały opóżnione.
  • 30-Paź-2015
- Security Explorations prosi Oracle o przesłanie informacji o numerach CVE odpowiadających błędom zgłoszonym w ramach projektu SE-2014-01 (błędy 1-22).
- Oracle informuje, że firma zbierze wymagane informacje i się wtedy odezwie.
  • 02-Lis-2015
- Oracle przesyła numery CVE dla błędów 1-22.

Copyright 2008-2018 Security Explorations. All Rights Reserved.