Oracle尚存44個漏洞 兩年半前就已有(轉)

Oracle尚存44個漏洞 兩年半前就已有(轉)[@more@]一名德國的資料庫安全工程師日前撰文指出，到目前為止，甲骨文軟體產品中還有44個尚未修補的漏洞。這些漏洞從被發現至今從十二天到兩年半不等。

　　德國資訊保安機構“紅色資料庫安全”的工程師亞力山大·科布魯斯特日前在Buqtraq安全郵件列表上發表了這篇文章。他說，這四十四個漏洞主要集中在甲骨文的資料庫產品上。其中，最老的漏洞早在兩年半之前被發現者報告給了甲骨文，最新的漏洞則是在十二天之前被發現。

　　科布魯斯特談及的四十四個漏洞包括各種SQL語句插入漏洞、交叉指令碼攻擊漏洞、明文密碼洩露漏洞等。他說，這些漏洞在甲骨文公司未來的安全更新中將得到修補，但他也不清楚甲骨文升級軟體或釋出修補具體漏洞的時間。

　　去年，甲骨文首席安全官瑪麗·安娜·戴維德森的一席話在資訊保安界引發騷動。安娜稱，在已經發現的甲骨文軟體漏洞中，有四分之三是該公司自己的工程師發現的。科布魯斯特據此計算，甲骨文軟體尚未得到修補的漏洞應該在一百六十個左右。

　　“讓我們作一個算術，根據瑪麗·安娜·戴維德森的說法，四分之三的漏洞是甲骨文自己發現的，我們發現的四十四個如果是剩下的四分之一，那麼甲骨文至今尚未修改的至少還有一百六十個漏洞。”科布魯斯特在文章中寫道。

　　近來，有關甲骨文軟體漏洞的新聞又不時湧現網路。兩週前，甲骨文釋出的新安全更新包號稱修補了三十多個漏洞，隨後，NGS軟體公司的工程師大衛·裡奇菲爾德曝出，甲骨文三次釋出補丁也沒有能把一個存在兩年多的漏洞修補好。

　　科布魯斯特在其文章中得出結論說：“在修補軟體漏洞方面，甲骨文的確有點慢條斯理。”