なんt、TNS Listenerの脆弱性を修正済みと勘違いして公開しちゃったらしい。
米Oracleが4月17日に公開した定例クリティカルパッチアップデート(CPU)をめぐり、データベースの脆弱性情報を提供した研究者とOracleとの間で情報の行き違いが発生、実際には脆弱性が修正されていないにもかかわらず、修正されたと思い込んだ研究者が詳しい情報や攻撃方法などを公開してしまう事態が起きた。
Oracle DBに未解決の脆弱性、研究者が手違いで詳細情報を公開 - ITmedia エンタープライズ
米セキュリティ機関のSANS Internet Storm Centerなどによると、問題の脆弱性はOracle Database Serverの「TNS Listener」というコンポーネントに存在するもので、この研究者が2008年にOracleに報告していた。
研究者は、Oracleが17日に公開したCPUの中に情報提供者として自分の名があったことなどから、この脆弱性が解決されたと考え、翌18日にセキュリティメーリングリストのFull Disclosureに寄せた投稿で詳しい情報を公開。コンセプト実証コードと併せ、この脆弱性を突いて攻撃を仕掛ける方法についても解説した。
