Oracle发布43个严重数据库漏洞更新

日期: 2009-04-14 作者:Robert Westervelt翻译:Tina Guo 来源:TechTarget中国 英文

Oracle周二在本季度的紧急补丁更新中发布了43个补丁,修复数据库管理系统、应用服务器和应用产品线中的漏洞。

  Oracle紧急补丁更新包含的补丁可以修复16个数据库漏洞,影响Oracle Database 11g、10g和9i。Oracle Resource Manager中的漏洞可以分配紧急补丁更新资源,它的CVSS(常见罗东评分系统Common Vulnerability Scoring System)评分是9。它可以允许攻击者获取数据库的全面控制。Oracle说,这个漏洞影响Oracle Database Server 9.2.0.8和9.2.0.8DV。

  数据库和应用安全厂商Imperva Inc.的 首席技术官Amichai Shulman说,这个漏洞可能是数据库列或语句触发器中的一个SQL注入漏洞。
 
  Shulman说:“以我的经验看来,在数据库本身上存在等级这么高的漏洞很不平常。”

  Oracle的Global Technology Business Unit的安全经理Eric Maurice告知用户,企业需要在配置补丁前采取减缓措施。

  Maurice在Oracle 产品安全博客中写道:“这样的措施包括对这些系统的额外的监控,以及保证已经在其上采取了恰当地网络访问控制措施”

  Maurice说,CVSS分数第二高的漏洞(7.1分)相对不太严重,因为它要求全面的数据库权限,包括输入数据库的能力。

  Oracle修复了Oracle Application Server 10g中的12个漏洞。CVSS分数最高的漏洞是7.5分,影响OPMN服务。这项服务可以监察和控制应用服务器组件和实例。它可以攻击者用户获取应用服务器的部分控制权,并访问敏感信息。

  Oracle继续为其BEA产品线发布高度严重的补丁。所发布的八个安全补丁中的两个的CVSS基本分数是10。其中一个严重漏洞是在Oracle JRockit中,这是用于修复Java应用故障检修的Java开发和运行平台。另一个漏洞存在于BEA WebLogic服务器本身上。这两个漏洞都可以被攻击者远程利用,而不需要认证,而且可以给他们访问服务器的全面权限,并窃取敏感信息。

  Imperva的Shulman说:“我认为他们在本质上这些产品都对不需要认证就可以背利用的漏洞很敏感。”

  Oracle的旗舰企业资源管理软件E-Business套件中有了三个漏洞补丁。Oracle说,这个漏洞包含中Oracle的应用对象库、应用构架(applications framework)和technology stack中。最高的CVSS分数是6.8。Oracle PeopleSoft和 JDEdwards软件套件中存在四个新的安全补丁。

  在一月,Oracle发布了41个安全补丁,修复BEA WebLogic服务器和Secure Backup管理软件中的几个严重漏洞。

小编推荐:安全补丁管理指南

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

Tina Guo
Tina Guo

相关推荐

  • Oracle现使用CVSS 3.0对漏洞进行评级

    Oracle今年4月关键补丁更新(Critical Patch Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安全漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响。

  • 为免攻击困扰 甲骨文弃用Java浏览器插件

    甲骨文公司宣布在下一版本的Java Development Kit中将弃用Java浏览器插件,该公司已经要求开发人员开始迁移Java applet到新的Java Web Start技术。

  • 专家观点:Oracle更新补丁应加快节奏

    Oracle在其新的季度更新中对超过50款产品修复了154个漏洞,不过专家称Oracle应该加快其更新节奏,至少是为了那些销量比较好的产品……

  • 安全更新很困难 但不打补丁风险更大

    近来,联想自动更新系统的恶意软件问题让一些人开始担心自动更新相关的风险。但专家称,现在的安全更新程序比以往都更好,而不修复漏洞的风险更大。