本周二，甲骨文发布关键补丁更新。修补其数据库和应用产品线的安全漏洞。

        位于加州的甲骨文称这次的安全更新包括为修补二十七个漏洞的补丁，其中八个漏洞修补Oracle数据库，六个是针对Oracle应用服务器的安全漏洞。

        位于加州的Imperval公司CTO Amichai Shulman说，更具有危险的数据库漏洞包括几个SQL注入漏洞和一个XML DB处理错误，攻击者不需要特别的权限就可以进行攻击。XML DB是Oracle数据库提供原生XML存储和检索技术的功能。

        Shulman说，这次的关键补丁更新（CPU）主要是针对客户端的漏洞。应用服务器漏洞中有五个无需验证就可能进行远程攻击。Shulman还说，Oracle Jinitiator存在的问题是最关键的安全漏洞之一。在Windows 95/98/2000和Windows NT4.0的平台上，Jinitiaton能够让终端用户在Netscapte或IE中直接运行Oracle Developer Server应用程序。

        此外，Oracle Collaboration Suite, Oracle E-Business Suite, Oracle Enterprise Manager以及Oracle PeopleSoft Enterprise产品的漏洞已被修复。

        与此同时，一项新的调查表明Oracle数据库管理员没有进行补丁更新。不过这项调查有失科学性，有些IT专家认为调查结果有待考证。该调查是有一家名为Sentrigo的数据库安全厂商进行的，它在2007年8月到2008年1月期间对十四个Oracle用户群体的305名Oracle数据库管理员进行问卷调查。该厂商询问是否DBA曾经安装过任何一个Oracle关键补丁更新。被调查者中有206人说他们从来没有安装过任何Oracle关键补丁更新，只有31人表示我们安装了甲骨文最新发布的安全更新。

        Sentrigo的CTO Slavik Markovich说，DBA不重视关键补丁更新有多种原因。他说，不中断系统去进行测试和部署，是一件很困难的事情。“Oracle是最复杂的数据库，具有诸多功能，这使得攻击层面更加广。”Markovich表示，调查结果令人诧异。在很多情况下，系统的稳定性和正常运行时间的重视往往多过安全的重视。他说：“IT安全人员可能不一定完全清楚数据库那边的情况。他们以为所有的补丁都打了，但实际上不是那么一回事。”

        业界专家表示，参加调查的反馈者是否是产品环境下负责Oracle数据库的DBA还不是很清楚。例如，软件开发组织中DBA就不具有立刻安装补丁的急需性。Imperva的Shulman表示，大部分具有多个产品数据库的公司必须遵循法规，制定一个补丁周期。他说：”我很肯定的是，很多DBA不会安装补丁，因为我们的调查表明通常而言他们的补丁周期在6到12月。”