Oracle修補安全性漏洞 含23個資料庫瑕疵

甲骨文當地時間18日發布7月份的安全更新，共修補65項軟體缺失，包括許多跨產品的嚴重問題。

這次的修補包括許多嚴重弱點。負責安全警告的甲骨文資深經理Darius Wiles表示，65個錯誤中有27個能被匿名的遠端攻擊者利用。

甲骨文不建議任何替代方案，僅呼籲顧客儘速修補系統。Wiles說：“我們依嚴重順序修補瑕疵。Critical Patch Update（重要補丁程式更新，簡稱CPU）部分是最緊急的。我們強烈建議顧客儘速執行這些安全補丁程式。”

甲骨文7月份的CPU共修補23個資料庫產品瑕疵、1個Collaboration Suite協力套裝軟體的問題、10個Application Server瑕疵、20個E-Business Suite與Application的相關問題、4個位於Enterprise Manager的弱點，仁科（PeopleSoft）的Enterprise門戶軟體和JD Edwards軟體，也分別有兩個和一個漏洞完成修補。

此外，搭配甲骨文資料庫的用戶端軟體，這次也有4個安全弱點進行修補。這是甲骨文自2005年1月推出CPU以來，第二度提供PC軟體的更新。

Wiles說：“顧客需要考慮用7月份的CPU更新其案頭型電腦，但絕大多數的CPU只針對資料庫伺服器。”

根據甲骨文的安全警告，用戶端軟體的4個瑕疵中，有3個被視為嚴重問題，因其不需任何驗證，就能被遠端攻擊者利用。這次更新也涵蓋該公司今年4月意外曝光的一個資料庫弱點。

甲骨文對安全主題一向採取保密和封口政策，但4月6日卻在其MetaLink客戶網站上，公布一個未修補瑕疵的細節。

同時間，甲骨文的安全更新政策也遭受外界的猛烈批評。該公司希望這次能一舉洗刷惡名，Wiles說：“我們的目標是在正式的公布日，提供有品質的補丁程式。”

Wiles表示，7月份的更新應涵蓋250項甲骨文產品在多種作業系統平台的軟體修補。但其中尚有10項未完成，某些可能需要更長的時間。

甲骨文並未發現這次修補的弱點有被用來發動任何攻擊。該公司對安全問題的反應過慢一直飽受安全專家詬病。Wiles說，目前接獲通報的問題，都將用未來的更新陸續解決。