甲骨文的下一次重要的補丁更新還有一個星期才能發布但是甲骨文數據庫的用戶已經有一個安全漏洞需要擔心了而這個安全漏洞似乎是甲骨文自己意外洩漏的
據德國RedDatabaseSecurity GmbH公司著名的數據庫安全研究人員和業務經理Alexander Kornbrust說甲骨文在其MetaLink客戶技術支持網站上意外刊登了介紹這個安全漏洞文章內容還包括如何利用這個安全漏洞
Kornbrust在RedDatabaseSecurity網站上發表的一個帖子說甲骨文月日在MetaLink網站上發表了一篇文章詳細介紹了一個沒有修補的安全漏洞以及利用這個安全漏洞的代碼這個安全漏洞影響到從至版的所有版本的甲骨文數據庫軟件他說這篇文章還出現在MetaLink網站的每日要聞欄目中並且發送給了每日要聞欄目的訂閱用戶
他說這種高風險升級權限的安全漏洞發生在甲骨文數據庫處理有權限的用戶制作的某些視圖時發生的錯誤引起的獲得SELECT權限的惡意用戶能夠利用這個安全漏洞嵌入更新或者刪除任意的代碼
著名的安全漏洞清除機構法國安全事件反應小組分析了這個安全漏洞並且發布了自己的安全公告把這個安全漏洞列為中等危險的漏洞
Kornbrust說在知道了這個安全漏洞之後他用電子郵件向甲骨文通報了有關這篇洩漏安全漏洞的那篇文章然後甲骨文刪除了MetaLink網站上的那篇文章他在RedDatabaseSecurity網站上批評甲骨文的這種做法他說這樣洩漏安全漏洞通常會傷害到其他人
他說甲骨文通常批評個人或者企業發布有關甲骨文的安全漏洞信息但是這一次甲骨文在MetaLink網站上不僅詳細介紹了這個安全漏洞而且還提供了利用這個安全漏洞的代碼
甲骨文發言人沒有立即對提供評論的要求給予答復但是Kornbrust表示甲骨文已經對他說將來發布的重要補丁將修復這個安全漏洞甲骨文下一次發布重要補丁更新的發布時間是在月日星期二Kornbrust對甲骨文能夠在那個時候修復這個安全漏洞表示懷疑
在這個安全漏洞被修復之前Kornbrust建議可以采取如下繞過漏洞的措施
采取措施保證連接角色(connect role)的安全並且從中刪除CREATE VIEW(創建視圖)和CREATE DATABASE LINK(創建數據庫鏈接)的權限從數據庫表中刪除主要鍵值也是一種選擇不過這樣會引起這個數據庫應用程序的性能和完整性問題
From:http://tw.wingwit.com/Article/program/Oracle/201311/18682.html
