德国安全研究人员日前表示,甲骨文的产品,特别是甲骨文主要的数据库产品,存在44个安全漏洞。最老的安全漏洞是两年半之前发现的安全漏洞,最新的安全漏洞是12天之前刚发现的安全漏洞。
红色数据库安全公司的Alexander Kornbrust在Bugtraq安全邮件列表中贴出一个消息,具体指明了甲骨文产品中的44个安全漏洞,其中包括许多SQL注入安全瑕疵、交叉脚本错误和明文口令暴露的问题。其中许多安全漏洞将在即将发布的甲骨文安全更新中修复,或者在未来的软件升级中修复。
甲骨文首席安全官Mary Ann Davidson去年曾表示,甲骨文产品中的安全漏洞有75%是甲骨文自己的安全人员发现的。Kornbrust根据甲骨文首席安全官的说法推测说,甲骨文实际上有160个需要修复的安全漏洞。
Kornbrust在邮件列表中写道,让我们做一些计算。根据Mary Ann Davidson所说的全部安全漏洞的75%是甲骨文的雇员发现的。如果这些安全漏洞是由报告者独立修复的,那么,25%就等于40个没有修复的安全漏洞(红色数据库安全公司发现的安全漏洞的数量)。75%就等于120个没有修复的安全漏洞(甲骨文雇员发现的安全漏洞的数量)。总数就等于160个没有修复的安全漏洞。
甲骨文正式发布包含30多个安全补丁的"重要安全更新"还不到两个星期Kornbrust就公布了这些已经报告但是还没有修复的安全漏洞的统计数字。几天之前,NGS软件公司的另一位安全研究人员David Litchfield表示,尽管经过了三次努力,甲骨文依然没有恰当地修复一个两年多的安全漏洞。
Kornbrust在Bugtraq邮件列表的帖子中做结论说,甲骨文甲骨文确实没有很快地修复安全漏洞。
