甲骨文发布季度补丁 修复100多个漏洞
来源:岁月联盟
时间:2006-01-20
据techworld.com网站报道,这些补丁是甲骨文每季度定期发布的更新的一部分,还包括修复仁科和J.D. Edwards软件产品中安全漏洞的补丁。甲骨文列出了影响甲骨文数据库的大量的安全漏洞,并且指出这些安全漏洞对于甲骨文数据库的可用性、完整性和保密性有“广泛的”影响。
例如,甲骨文数据库中的一个安全漏洞能够让任何有访问权限的用户担任数据库管理员的角色。这个安全漏洞是数据库安全公司Imperva去年10月首先向甲骨文报告的。Imperva首席执行官Shlomo Kramer说,这个安全漏洞还能够让可能的安全阻止数据库服务器内置的审查机制记录其非法行动。
这批补丁是甲骨文去年秋季改为每季度发布一次补丁之后发布的第二批补丁。甲骨文下一次发布补丁的时间是在4月12日。
甲骨文表示,根据其重要补丁更新计划,甲骨文将发布把修复多个安全漏洞的许多补丁结合在一起的高度集成的补丁。这些补丁是累积的。也就是说,错过了一个季度的补丁更新的用户可以使用一个累积的更新就可以同时修复当前新的和上个季度没有修复的安全漏洞。
安全研究公司下一代安全软件公司的总经理David Litchfield表示,甲骨文在过去的一年里在安全反应程序方面取得了很大的进步,但是,仍有很长的路要走。Litchfield发现了甲骨文这次修复的一个“PL/SQL注入安全漏洞”。这个安全漏洞能够让普通用户取得甲骨文数据库的管理控制权。
Litchfield说,到目前为止,甲骨文发布的重要的安全补丁一直都存在这样或者那样的漏洞,并且要反复发布多次。这就意味着在补丁更新的第一天就安装了这些补丁的用户在下一个重要的补丁更新日到来之前还需要重新安装几次补丁。
Imperva首席执行官Kramer说,甲骨文本周二发布安全补丁也是很麻烦的。这个安全更新没有详细说明它要解决的安全漏洞。如果你看一下这个安全更新,你会发现它是含糊其词的。甲骨文应该让用户知道那些是严重的安全漏洞,以便用户首先解决这些问题。