据国外媒体报道,一名德国的数据库安全工程师日前撰文指出,到目前为止,甲骨文软件产品中还有44个尚未修补的漏洞。这些漏洞从被发现至今从十二天到两年半不等。
德国信息安全机构“红色数据库安全”的工程师亚力山大。科布鲁斯特日前在Buqtraq安全邮件列表上发表了这篇文章。
他说,这四十四个漏洞主要集中在甲骨文的数据库产品上。其中,最老的漏洞早在两年半之前被发现者报告给了甲骨文,最新的漏洞则是在十二天之前被发现。
科布鲁斯特谈及的四十四个漏洞包括各种SQL语句插入漏洞、交叉脚本攻击漏洞、明文密码泄露漏洞等。他说,这些漏洞在甲骨文公司未来的安全更新中将得到修补,但他也不清楚甲骨文升级软件或发布修补具体漏洞的时间。
去年,甲骨文首席安全官玛丽。安娜。戴维德森的一席话在信息安全界引发骚动。安娜称,在已经发现的甲骨文软件漏洞中,有四分之三是该公司自己的工程师发现的。科布鲁斯特据此计算,甲骨文软件尚未得到修补的漏洞应该在一百六十个左右。
“让我们作一个算术,根据玛丽。安娜。戴维德森的说法,四分之三的漏洞是甲骨文自己发现的,我们发现的四十四个如果是剩下的四分之一,那么甲骨文至今尚未修改的至少还有一百六十个漏洞。”科布鲁斯特在文章中写道。
近来,有关甲骨文软件漏洞的新闻又不时涌现网络。两周前,甲骨文发布的新安全更新包号称修补了三十多个漏洞,随后,NGS软件公司的工程师大卫。里奇菲尔德曝出,甲骨文三次发布补丁也没有能把一个存在两年多的漏洞修补好。
科布鲁斯特在其文章中得出结论说:“在修补软件漏洞方面,甲骨文的确有点慢条斯理。”
