Oracle数据库产品中发现6个未打补丁漏洞

  • 发布于:2021-05-08
  • 200 人围观
本周二,一个德国的数据库安全机构公开发表关于Oracle数据库产品的漏洞信息,称在Oracle的表单(Form)和报表(Report)中发现了6个漏洞,都未发布相应的补丁。并且,有几个漏洞还是高危级别的,而表单和报表又是两个应用广泛的面向企业的产品。

Red-Database-Security GmbH,是一个致力于Oracle安全审计方面的公司,它发出的警告称,最严重的漏洞可能会给黑客使用Web浏览器重写目标应用服务器上任何文件的机会。

Red-Database-Security公司创建者即首席执行官Alexander Kornbrust说,这6个漏洞中的3个被认为是“高危的(critical)”,是因为使用受其影响的产品的企业会有很大的危险。

在一次接受Internet新闻机构Ziff Davis的采访中,Kornbrust说在决定公开发布这则消息前,他已经等了Oracle 700天来处理这些问题。

Kornbrust说他满怀希望,想在Oracle7月份发布的“关键补丁更新”中看到对这几个漏洞发布的补丁,因为这几个漏洞确实很严重并且Oracle的表单和报表应用范围非常广。

Oracle表单是其开发者组件的一个组成部分,Oracle报表是其企业汇报工具。

受影响的产品特性在Oracle应用服务器中非常明显,并且也用于Oracle的电子商务套件。

Kornbrust说:“Oracle很长一段时间都不对关键的安全bug打补丁的行为是顾客所不能接受的。”他警告说长时间的耽误“使客户处于危险之中”。

他补充说:“Internet上的任何黑客至少能够利用这6个漏洞中的1个。”

Kornbrust说3个月前,他就通知了Oracle安全组,说如果在7月发布的补丁更新里没有对这些漏洞提出解决方案的话,他将打算发布这些bug的详细信息。

他说:“我知道Oracle的产品很复杂,我也知道开发出一个高质量的补丁需要时间。所以如果3个月不够的话我可以给Oracle更多的时间处理问题,但Oracle从没跟我说需要更多时间。”

他继续说:“我决定发布这些漏洞,是因为通过使用Oracle在咨询中提供的工作区(workaround),很可能会削弱这些漏洞的危险性。”

Kornbrust已经在Oracle德国公司、瑞士公司和IBM Global Services做过多年的顾问工作,他说对于Oracle没有给这些漏洞打补丁,他本人并没有感到失望,也不感到惊奇。

他说:“这是Oracle对于安全处理的常规方式,对付关键的bug,他们总是花很长很长时间。很多年来,一直如此。”

以前,Oracle已经因为太慢对关键的安全问题做出响应而受到过严厉的指责。

去年夏天,在拉斯维加斯的BlackHat简报中,研究人员破记录地发布了Oracle产品中没有得到解决的二、三十个安全漏洞的详细信息。

那时,Oracle承认他们几个月前就已经认识到了这些漏洞,其中有些还是高危漏洞。

那次事件对公关方面的影响促使Oracle开始了季度性地发布补丁,这样,每年就会发布四次“关键补丁更新”。

但是,看起来,这位数据库大亨好像仍在奋力处理那些研究人员所指出的漏洞。

据来自Kornbrust的咨询消息称,Oracle的用户在补丁发布前可以暂时使用工作区(workaround)来获得保护。

漏洞涉及面非常广,从跨站点脚本(cross-site-scripting)、信息暴露(information disclosure)、文件重写(file overwrite)到在目标应用服务器上运行操作系统命令,应有尽有。

本月初,在一个私营安全研究机构指出潜在安全问题尚未得到解决之后,Oracle发布了一个非完全数据库服务器补丁。

在David Litchfield——总部设在英国的下一代安全软件公司(Next Generation Security Software Ltd.)的经理主管——提醒Oracle公司注意补丁的错误之前,这个补丁已经运行了差不多一个月。
万企互联
标签: