甲骨文的下一次重要的补丁更新还有一个星期才能发布。但是,甲骨文数据库的用户已经有一个安全漏洞需要担心了。而这个安全漏洞似乎是甲骨文自己意外泄漏的。
据德国Red-Database-Security GmbH公司著名的数据库安全研究人员和业务经理Alexander Kornbrust说,甲骨文在其MetaLink客户技术支持网站上意外刊登了介绍这个安全漏洞文章,内容还包括如何利用这个安全漏洞。
Kornbrust在Red-Database-Security网站上发表的一个帖子说,甲骨文4月6日在MetaLink网站上发表了一篇文章,详细介绍了一个没有修补的安全漏洞以及利用这个安全漏洞的代码。这个安全漏洞影响到从9.2.0.0至10.2.0.3版的所有版本的甲骨文数据库软件。他说,这篇文章还出现在MetaLink网站的每日要闻栏目中,并且发送给了每日要闻栏目的订阅用户。
他说,这种“高风险、升级权限”的安全漏洞发生在甲骨文数据库处理有权限的用户制作的某些视图时发生的错误引起的。获得“SELECT”权限的恶意用户能够利用这个安全漏洞嵌入、更新或者删除任意的代码。
http://searchsecurity.techtarget.com.cn/206/2367706.shtml著名的安全漏洞清除机构法国安全事件反应小组分析了这个安全漏洞并且发布了自己的安全公告,把这个安全漏洞列为中等危险的漏洞。
Kornbrust说,在知道了这个安全漏洞之后,他用电子邮件向甲骨文通报了有关这篇泄漏安全漏洞的那篇文章。然后,甲骨文删除了MetaLink网站上的那篇文章。他在Red-Database-Security网站上批评甲骨文的这种做法。他说,这样泄漏安全漏洞通常会伤害到其他人。
他说,甲骨文通常批评个人或者企业发布有关甲骨文的安全漏洞信息。但是,这一次,甲骨文在MetaLink网站上不仅详细介绍了这个安全漏洞而且还提供了利用这个安全漏洞的代码。
甲骨文发言人没有立即对提供评论的要求给予答复。但是,Kornbrust表示,甲骨文已经对他说将来发布的重要补丁将修复这个安全漏洞。甲骨文下一次发布重要补丁更新的发布时间是在4月18日星期二。Kornbrust对甲骨文能够在那个时候修复这个安全漏洞表示怀疑。
在这个安全漏洞被修复之前,Kornbrust建议可以采取如下绕过漏洞的措施:
采取措施保证连接角色(connect role)的安全并且从中删除“CREATE VIEW”(创建视图)和“CREATE DATABASE LINK”(创建数据库链接)的权限。从数据库表中删除主要键值也是一种选择,不过,这样会引起这个数据库应用程序的性能和完整性问题。