甲骨文(Oracle)上周四(4/6)不小心在自己的客户技术支持网站Metalink上公开了该公司资料库软体中的漏洞,虽然随即在上周五移除该漏洞信息,不过已有安全研究人员Alexander Kornbrust把此一情况张贴于Full Disclosure的邮件清单中.
这个漏洞可能影响甲骨文资料库9.2.0.0到10.2.0.3等版本,若要攻击该漏洞,黑客必须先取得甲骨文资料库帐号,不过,该漏洞却可让甲骨文资料库用户取得更多的系统权限,进而更改资料,甚至改变资料库密码.
Alexander Kornbrust说,甲骨文所公布的不仅是漏洞的详细信息,还包括了一支漏洞测试程式.
讽刺的是,过去甲骨文即使是在已有修补程式的情况下,亦不愿公开漏洞细节,同时也曾批评那些揭露甲骨文产品漏洞的安全研究人员,而这次却是甲骨文自己疏忽导致未修补的漏洞曝光.
甲骨文发言人表示,该公司预计在未来每季的重大修补更新时提供该漏洞的修补程式.甲骨文下一次的每季重大更新日期为下周二(4/18),但该公司并未明确指出会在下周提供此一修补程式.
Alexander Kornbrust认为甲骨文并不会在下周就推出该漏洞修补程序,因此主动提出了几个暂时修补方案供网友参考.
|
