Oracle数据库产品中发现6个未打补丁漏洞
- 发布于:2021-05-08
- 共 200 人围观
Red-Database-Security GmbH,是一个致力于Oracle安全审计方面的公司,它发出的警告称,最严重的漏洞可能会给黑客使用Web浏览器重写目标应用服务器上任何文件的机会。
Red-Database-Security公司创建者即首席执行官Alexander Kornbrust说,这6个漏洞中的3个被认为是“高危的(critical)”,是因为使用受其影响的产品的企业会有很大的危险。
在一次接受Internet新闻机构Ziff Davis的采访中,Kornbrust说在决定公开发布这则消息前,他已经等了Oracle 700天来处理这些问题。
Kornbrust说他满怀希望,想在Oracle7月份发布的“关键补丁更新”中看到对这几个漏洞发布的补丁,因为这几个漏洞确实很严重并且Oracle的表单和报表应用范围非常广。
Oracle表单是其开发者组件的一个组成部分,Oracle报表是其企业汇报工具。
受影响的产品特性在Oracle应用服务器中非常明显,并且也用于Oracle的电子商务套件。
Kornbrust说:“Oracle很长一段时间都不对关键的安全bug打补丁的行为是顾客所不能接受的。”他警告说长时间的耽误“使客户处于危险之中”。
他补充说:“Internet上的任何黑客至少能够利用这6个漏洞中的1个。”
Kornbrust说3个月前,他就通知了Oracle安全组,说如果在7月发布的补丁更新里没有对这些漏洞提出解决方案的话,他将打算发布这些bug的详细信息。
他说:“我知道Oracle的产品很复杂,我也知道开发出一个高质量的补丁需要时间。所以如果3个月不够的话我可以给Oracle更多的时间处理问题,但Oracle从没跟我说需要更多时间。”
他继续说:“我决定发布这些漏洞,是因为通过使用Oracle在咨询中提供的工作区(workaround),很可能会削弱这些漏洞的危险性。”
Kornbrust已经在Oracle德国公司、瑞士公司和IBM Global Services做过多年的顾问工作,他说对于Oracle没有给这些漏洞打补丁,他本人并没有感到失望,也不感到惊奇。
他说:“这是Oracle对于安全处理的常规方式,对付关键的bug,他们总是花很长很长时间。很多年来,一直如此。”
以前,Oracle已经因为太慢对关键的安全问题做出响应而受到过严厉的指责。
去年夏天,在拉斯维加斯的BlackHat简报中,研究人员破记录地发布了Oracle产品中没有得到解决的二、三十个安全漏洞的详细信息。
那时,Oracle承认他们几个月前就已经认识到了这些漏洞,其中有些还是高危漏洞。
那次事件对公关方面的影响促使Oracle开始了季度性地发布补丁,这样,每年就会发布四次“关键补丁更新”。
但是,看起来,这位数据库大亨好像仍在奋力处理那些研究人员所指出的漏洞。
据来自Kornbrust的咨询消息称,Oracle的用户在补丁发布前可以暂时使用工作区(workaround)来获得保护。
漏洞涉及面非常广,从跨站点脚本(cross-site-scripting)、信息暴露(information disclosure)、文件重写(file overwrite)到在目标应用服务器上运行操作系统命令,应有尽有。
本月初,在一个私营安全研究机构指出潜在安全问题尚未得到解决之后,Oracle发布了一个非完全数据库服务器补丁。
在David Litchfield——总部设在英国的下一代安全软件公司(Next Generation Security Software Ltd.)的经理主管——提醒Oracle公司注意补丁的错误之前,这个补丁已经运行了差不多一个月。