CNET科技资讯网7月20日国际报道 据一名德国安全研究人员称,甲骨文的一些产品中存在一些严重的尚未修正的安全缺陷。他表示,尽管在二年前就已经知道了这些安全缺陷,但甲骨文一直没有能够修正它们。
德国当地时间本周二,红色数据库安全公司的亚历山大发布了针对6 个缺陷的安全公告,其中的5 个缺陷存在于“Oracle Reports”企业报告工具中,另一个存在于“Oracle Forms”。
他在发送给News.com的一封电子邮件中说,我在二年前就向甲骨文通报了这些缺陷。为了敦促甲骨文修正这些缺陷,他在4 月份向甲骨文表示,如果它不能在7 月份发布补丁软件,他就将公布这些缺陷。
据亚历山大发布的安全公告称,最严重的缺陷能够让黑客控制甲骨文用户的系统。亚历山大认为3 个缺陷“危险性很高”,2 个缺陷“危险性中等”,1 个缺陷“危险性较低”。
他说,这些问题影响多种版本的甲骨文产品,其中包括最新版本的10g 数据库。
甲骨文拒绝就亚历山大的报告发表评论。甲骨文的一名代表表示,公司认为,在发布补丁软件前,缺陷的详细资料不应当被公布于众。他在一份电子邮件声明中说,我们对安全研究人员不遵守业界最佳行为规则感到失望。
iDefense和eEye数字安全公司的安全专家称,亚历山大是一位受人尊敬的研究人员,他在过去曾在甲骨文的产品中发现过缺陷,但这些缺陷都已经被修正了。
iDefense的一名实验室主管迈克尔表示,如果亚历山大说的是真的,我认为这是软件厂商不认真修正安全缺陷的最坏的例子之一。客户需要一个明确的解释,希望甲骨文能够对亚历山大的公告作出公开的响应。
亚历山大认为甲骨文是在拖延时间,在不支持旧版本产品后,在新版本产品中悄悄修正这些缺陷是很容易的。英国的一名安全专家称,甲骨文产品中可能存在多达250 个尚未修正的安全缺陷,甲骨文可能没有足够的安全人员来修复它们。
亚历山大表示,他不知道有利用这些缺陷的攻击发生。他还在报告中提出了保护系统的临时性措施。
