甲骨文发布最新关键补丁 更新修补严重漏洞

日期: 2008-01-17 作者:Robert Westervelt翻译:Shirley Xie 来源:TechTarget中国 英文

本周二,甲骨文发布关键补丁更新。修补其数据库和应用产品线的安全漏洞。

        位于加州的甲骨文称这次的安全更新包括为修补二十七个漏洞的补丁,其中八个漏洞修补Oracle数据库,六个是针对Oracle应用服务器的安全漏洞。

        位于加州的Imperval公司CTO Amichai Shulman说,更具有危险的数据库漏洞包括几个SQL注入漏洞和一个XML DB处理错误,攻击者不需要特别的权限就可以进行攻击。XML DB是Oracle数据库提供原生XML存储和检索技术的功能。

        Shulman说,这次的关键补丁更新(CPU)主要是针对客户端的漏洞。应用服务器漏洞中有五个无需验证就可能进行远程攻击。Shulman还说,Oracle Jinitiator存在的问题是最关键的安全漏洞之一。在Windows 95/98/2000和Windows NT4.0的平台上,Jinitiaton能够让终端用户在Netscapte或IE中直接运行Oracle Developer Server应用程序。

        此外,Oracle Collaboration Suite, Oracle E-Business Suite, Oracle Enterprise Manager以及Oracle PeopleSoft Enterprise产品的漏洞已被修复。

        与此同时,一项新的调查表明Oracle数据库管理员没有进行补丁更新。不过这项调查有失科学性,有些IT专家认为调查结果有待考证。该调查是有一家名为Sentrigo的数据库安全厂商进行的,它在2007年8月到2008年1月期间对十四个Oracle用户群体的305名Oracle数据库管理员进行问卷调查。该厂商询问是否DBA曾经安装过任何一个Oracle关键补丁更新。被调查者中有206人说他们从来没有安装过任何Oracle关键补丁更新,只有31人表示我们安装了甲骨文最新发布的安全更新。

        Sentrigo的CTO Slavik Markovich说,DBA不重视关键补丁更新有多种原因。他说,不中断系统去进行测试和部署,是一件很困难的事情。“Oracle是最复杂的数据库,具有诸多功能,这使得攻击层面更加广。”Markovich表示,调查结果令人诧异。在很多情况下,系统的稳定性和正常运行时间的重视往往多过安全的重视。他说:“IT安全人员可能不一定完全清楚数据库那边的情况。他们以为所有的补丁都打了,但实际上不是那么一回事。”

        业界专家表示,参加调查的反馈者是否是产品环境下负责Oracle数据库的DBA还不是很清楚。例如,软件开发组织中DBA就不具有立刻安装补丁的急需性。Imperva的Shulman表示,大部分具有多个产品数据库的公司必须遵循法规,制定一个补丁周期。他说:”我很肯定的是,很多DBA不会安装补丁,因为我们的调查表明通常而言他们的补丁周期在6到12月。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐