Re: [ml] Tempistiche di rilascio patch

Rissone Ruggero ha scritto:
> Leggendo una delle ultime news di Securiteam, m'e' caduto l'occhio su
> questa
>  
> NGSSoftware Insight Security Research Advisory
>
> Name: Oracle TNS Listener DoS and/or remote memory inspection
> Systems Affected: Oracle 8.1.7.4, 10g Release 2 and 1, Oracle 9
> Severity: High
> Vendor URL: http://www.oracle.com/
> Author: David Litchfield [ davidl@xxxxxxxxxxxxxxx ]
> Reported: 22nd June 2006
> Date of Public Advisory: 17th October 2007
> Advisory number: #NISR17102007C
>
> Mi ha stupito come un bug con severita' alta venga risolto solo dopo
> oltre 1 anno dalla sua notifica al vendor.
> La mia domanda e' : esiste qualche norma/regola/direttiva che impone al
> vendor di risolvere una data vulnerabilita' in un tempo ritenuto
> ragionevole, o in questi casi ci si affida alla comunicazione
> confidenziale dal vendor ai suoi clienti circa la vulnerabilita',
> affinche' vengano predisposte altre contromisure ?
>   
si e no , dipende dal contratto di manutenzione e/o di assistenza in essere.
se l'errore rende il prodotto inservibile ovvero non rispondente alle  
promesse iniziali in tal caso esistono degli obblighi precisi, negli 
altri casi no.
ma tutto dipende dai contratti di licenza o comunque di acquisizione del 
prodotto.
la problematica è complessa ma non inaffrontabile, bisogna analizzare 
caso per caso.

rino