本周二，一個(gè)德國(guó)的數(shù)據(jù)庫(kù)安全機(jī)構(gòu)公開(kāi)發(fā)表關(guān)于Oracle數(shù)據(jù)庫(kù)產(chǎn)品的漏洞信息，稱在Oracle的表單(Form)和報(bào)表(Report)中發(fā)現(xiàn)了6個(gè)漏洞，都未發(fā)布相應(yīng)的補(bǔ)丁。并且，有幾個(gè)漏洞還是高危級(jí)別的，而表單和報(bào)表又是兩個(gè)應(yīng)用廣泛的面向企業(yè)的產(chǎn)品。

Red-Database-Security GmbH，是一個(gè)致力于Oracle安全審計(jì)方面的公司，它發(fā)出的警告稱，最嚴(yán)重的漏洞可能會(huì)給黑客使用Web瀏覽器重寫(xiě)目標(biāo)應(yīng)用服務(wù)器上任何文件的機(jī)會(huì)。

Red-Database-Security公司創(chuàng)建者即首席執(zhí)行官Alexander Kornbrust說(shuō)，這6個(gè)漏洞中的3個(gè)被認(rèn)為是“高危的(critical)”，是因?yàn)槭褂檬芷溆绊懙漠a(chǎn)品的企業(yè)會(huì)有很大的危險(xiǎn)。

在一次接受Internet新聞機(jī)構(gòu)Ziff Davis的采訪中，Kornbrust說(shuō)在決定公開(kāi)發(fā)布這則消息前，他已經(jīng)等了Oracle 700天來(lái)處理這些問(wèn)題。

Kornbrust說(shuō)他滿懷希望，想在Oracle7月份發(fā)布的“關(guān)鍵補(bǔ)丁更新”中看到對(duì)這幾個(gè)漏洞發(fā)布的補(bǔ)丁，因?yàn)檫@幾個(gè)漏洞確實(shí)很嚴(yán)重并且Oracle的表單和報(bào)表應(yīng)用范圍非常廣。

Oracle表單是其開(kāi)發(fā)者組件的一個(gè)組成部分，Oracle報(bào)表是其企業(yè)匯報(bào)工具。

受影響的產(chǎn)品特性在Oracle應(yīng)用服務(wù)器中非常明顯，并且也用于Oracle的電子商務(wù)套件。

Kornbrust說(shuō)：“Oracle很長(zhǎng)一段時(shí)間都不對(duì)關(guān)鍵的安全bug打補(bǔ)丁的行為是顧客所不能接受的。”他警告說(shuō)長(zhǎng)時(shí)間的耽誤“使客戶處于危險(xiǎn)之中”。

他補(bǔ)充說(shuō)：“Internet上的任何黑客至少能夠利用這6個(gè)漏洞中的1個(gè)。”

Kornbrust說(shuō)3個(gè)月前，他就通知了Oracle安全組，說(shuō)如果在7月發(fā)布的補(bǔ)丁更新里沒(méi)有對(duì)這些漏洞提出解決方案的話，他將打算發(fā)布這些bug的詳細(xì)信息。

他說(shuō)：“我知道Oracle的產(chǎn)品很復(fù)雜，我也知道開(kāi)發(fā)出一個(gè)高質(zhì)量的補(bǔ)丁需要時(shí)間。所以如果3個(gè)月不夠的話我可以給Oracle更多的時(shí)間處理問(wèn)題，但Oracle從沒(méi)跟我說(shuō)需要更多時(shí)間。”

他繼續(xù)說(shuō)：“我決定發(fā)布這些漏洞，是因?yàn)橥ㄟ^(guò)使用Oracle在咨詢中提供的工作區(qū)(workaround)，很可能會(huì)削弱這些漏洞的危險(xiǎn)性。”

Kornbrust已經(jīng)在Oracle德國(guó)公司、瑞士公司和IBM Global Services做過(guò)多年的顧問(wèn)工作，他說(shuō)對(duì)于Oracle沒(méi)有給這些漏洞打補(bǔ)丁，他本人并沒(méi)有感到失望，也不感到驚奇。

他說(shuō)：“這是Oracle對(duì)于安全處理的常規(guī)方式，對(duì)付關(guān)鍵的bug，他們總是花很長(zhǎng)很長(zhǎng)時(shí)間。很多年來(lái)，一直如此。”

以前，Oracle已經(jīng)因?yàn)樘龑?duì)關(guān)鍵的安全問(wèn)題做出響應(yīng)而受到過(guò)嚴(yán)厲的指責(zé)。

去年夏天，在拉斯維加斯的BlackHat簡(jiǎn)報(bào)中，研究人員破記錄地發(fā)布了Oracle產(chǎn)品中沒(méi)有得到解決的二、三十個(gè)安全漏洞的詳細(xì)信息。

那時(shí)，Oracle承認(rèn)他們幾個(gè)月前就已經(jīng)認(rèn)識(shí)到了這些漏洞，其中有些還是高危漏洞。

那次事件對(duì)公關(guān)方面的影響促使Oracle開(kāi)始了季度性地發(fā)布補(bǔ)丁，這樣，每年就會(huì)發(fā)布四次“關(guān)鍵補(bǔ)丁更新”。

但是，看起來(lái)，這位數(shù)據(jù)庫(kù)大亨好像仍在奮力處理那些研究人員所指出的漏洞。

據(jù)來(lái)自Kornbrust的咨詢消息稱，Oracle的用戶在補(bǔ)丁發(fā)布前可以暫時(shí)使用工作區(qū)(workaround)來(lái)獲得保護(hù)。

漏洞涉及面非常廣，從跨站點(diǎn)腳本(cross-site-scripting)、信息暴露(information disclosure)、文件重寫(xiě)(file overwrite)到在目標(biāo)應(yīng)用服務(wù)器上運(yùn)行操作系統(tǒng)命令，應(yīng)有盡有。

本月初，在一個(gè)私營(yíng)安全研究機(jī)構(gòu)指出潛在安全問(wèn)題尚未得到解決之后，Oracle發(fā)布了一個(gè)非完全數(shù)據(jù)庫(kù)服務(wù)器補(bǔ)丁。

在David Litchfield——總部設(shè)在英國(guó)的下一代安全軟件公司(Next Generation Security Software Ltd.)的經(jīng)理主管——提醒Oracle公司注意補(bǔ)丁的錯(cuò)誤之前，這個(gè)補(bǔ)丁已經(jīng)運(yùn)行了差不多一個(gè)月。