甲骨文2年没有修正安全缺陷 是缺乏人手所致?

王朝网站推广·作者佚名  2011-12-02
窄屏简体版  字體: |||超大  

CNET科技资讯网7月20日国际报道 据一名德国安全研究人员称,甲骨文的一些产品中存在一些严重的尚未修正的安全缺陷。他表示,尽管在二年前就已经知道了这些安全缺陷,但甲骨文一直没有能够修正它们。

德国当地时间本周二,红色数据库安全公司的亚历山大发布了针对6 个缺陷的安全公告,其中的5 个缺陷存在于“Oracle Reports”企业报告工具中,另一个存在于“Oracle Forms”。

他在发送给News.com的一封电子邮件中说,我在二年前就向甲骨文通报了这些缺陷。为了敦促甲骨文修正这些缺陷,他在4 月份向甲骨文表示,如果它不能在7 月份发布补丁软件,他就将公布这些缺陷。

据亚历山大发布的安全公告称,最严重的缺陷能够让黑客控制甲骨文用户的系统。亚历山大认为3 个缺陷“危险性很高”,2 个缺陷“危险性中等”,1 个缺陷“危险性较低”。

他说,这些问题影响多种版本的甲骨文产品,其中包括最新版本的10g 数据库。

甲骨文拒绝就亚历山大的报告发表评论。甲骨文的一名代表表示,公司认为,在发布补丁软件前,缺陷的详细资料不应当被公布于众。他在一份电子邮件声明中说,我们对安全研究人员不遵守业界最佳行为规则感到失望。

iDefense和eEye数字安全公司的安全专家称,亚历山大是一位受人尊敬的研究人员,他在过去曾在甲骨文的产品中发现过缺陷,但这些缺陷都已经被修正了。

iDefense的一名实验室主管迈克尔表示,如果亚历山大说的是真的,我认为这是软件厂商不认真修正安全缺陷的最坏的例子之一。客户需要一个明确的解释,希望甲骨文能够对亚历山大的公告作出公开的响应。

亚历山大认为甲骨文是在拖延时间,在不支持旧版本产品后,在新版本产品中悄悄修正这些缺陷是很容易的。英国的一名安全专家称,甲骨文产品中可能存在多达250 个尚未修正的安全缺陷,甲骨文可能没有足够的安全人员来修复它们。

亚历山大表示,他不知道有利用这些缺陷的攻击发生。他还在报告中提出了保护系统的临时性措施。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航