Oracle未及时解决漏洞 用户应以此为警钟
来源:岁月联盟
时间:2006-04-29
这个补丁就是针对6个月前在Oracle PL/SQL Gateway产品中发现的、并在今年初引发Oracle与英国安全专家David Litchfield口水战的安全漏洞。
Oracle PL/SQL Gateway是位于Web服务器和后端数据库服务器之间的Proxy。作为位于伦敦的NGSS公司的联合创立人、业界著名的数据库安全专家David Litchfield,对Oracle不能及时解决这一漏洞十分反感,他在今年一月份黑帽联盟安全会议上高调提出安全可以利用Oracle PL/SQL Gateway上的漏洞,无须用户名和密码就可以获取对后端数据库服务器的管理控制,从而直接获取到企业的敏感数据。
David Litchfield在黑帽联盟安全会议上详细演示了如何利用漏洞易如反掌地安全后端数据库系统。此后,Oracle曾给出一些补救措施,并责骂这位英国学者的做法是极其不负责任地将用户置于危险境地。
David Litchfield与Oracle在这一问题上的相互对峙,进一步加强了企业对数据安全的重视。Gartner随后给出的建议报告称,系统管理员们必须改变对补丁放任自流的态度。其分析师Rich Mogull说:“尽管Oracle 以前没有出现过重大安全问题,但这不意味着永远没有。”
以前我们关注的多是桌面系统上的各种漏洞,由于桌面的局限性,并没有产生过多重大的安全问题,如今后端软件出现安全漏洞,其造成的影响将难以预料。计世资讯资深分析师曹开彬对记者说: “企业用户首先要意识到漏洞无处不在,然后根据可能的安全陷阱建设防护措施。”Oracle在漏洞发现后用了长达6个月时间推出补丁,实在令人不敢恭维。企业用户需要以此为警钟,进一步完善自己的安全体系。