甲骨文发布安全公告 现早期漏洞威胁

来源: 机房360作者:Randy编辑
2012/5/16 14:05:42
最近甲骨文Oracle紧急发布了一个安全公告,而这个威胁来自于其旗舰版数据库服务器产品的安全漏洞。而这个所谓的“0-day”漏洞,被揭露4年前已经被发现,至今,甲骨文都未修复,仅仅给出了一个变通方案。



分享到: 新浪微博 腾讯微博
本文关键字: 甲骨文 安全公告

最近甲骨文Oracle紧急发布了一个安全公告,而这个威胁来自于其旗舰版数据库服务器产品的安全漏洞。而这个所谓的“0-day”漏洞,被揭露4年前已经被发现,至今,甲骨文都未修复,仅仅给出了一个变通方案。

早在2008年,这个漏洞最先由研究员Joxean Koret提交给甲骨文Oracle,该漏洞允许攻击者劫持客户端和数据库之间的交流信息。本来他以为甲骨文已经修复了这个漏洞,但是当他在甲骨文最近的关键补丁更新里再次看到这个漏洞时,才知道这个漏洞一直没有修复。

他强烈要求数据库管理员请求甲骨文发布补丁,但是没有收到重视。直到后来甲骨文发出了安全警告,证实了这个漏洞的严重性。这个漏洞可以不经验证就被远程利用,一旦被利用,将直接威胁目标数据库,

据安全公司报告,有一些需要注意的事项,报告里还包含了一些技术措施,可以有效的抵御所有基于此漏洞的攻击。(以下为其部分看法,不代表被媒体观点)

·甲骨文的安全公告没有包含这个安全补丁,它只是一个按部就班的变通方案细节。

·甲骨文不得不夜以继日的改变许可证,以使客户能够使用这个变通方案(客户为自己的售后支付高额的的费用,却得到这样的回报,连一个补丁都满足不了)。

·甲骨文4年前就知道这个漏洞,却并不去解决,直到第三方的研究员强烈的推动此事,这很明显的表明,他们没有准备为此做出任何行动。还有多少大的漏洞隐藏着还没有被发现?但可以肯定的说,这绝不是仅有的一个。

·甲骨文继续淡化CVSS分数,把这个漏洞定型为7.5,非甲骨文安全研究组织把这个定型为最高的CVSS10.0。

责编:孔维维
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map