甲骨文公司同名的数据库产品具有27个已暴露的漏洞,目前大部分补丁已完成了对这些漏洞的修复。据甲骨文公司的顾问介绍,在未经认证的情况下,有7个数据库漏洞可能会被远程使用。
本次升级,有11个补丁修复了Oracle应用服务器(Oracle Application Server)的漏洞——其中的7个漏洞在未经认证的情况下会被远程利用,有8个安全补丁是针对甲骨文公司的EBS(Oracle E-Business Suite),7个补丁针对Collaboration Suite,2个安全补丁针对仁科企业的 PeopleTools工具,还有一个新的安全补丁是针对仁科企业人力资源管理产品(PeopleSoft Enterprise Human Capital Management)。
本月中,甲骨文公司发布的补丁升级共处理了51个缺陷,远远少于去年十月份甲骨文公司修复的100个漏洞。这次的补丁升级第一次暴露了甲骨文公司有多少漏洞在未经认证的情况下能够被远程利用。由于黑客更容易访问这种漏洞,并且这种漏洞比本地的缺陷(至少它会要求本地的访问首先要通过某种形式的验证)更容易被利用,因此这种漏洞是最危险的。
今年的升级还包括通用弱点评价体系(Common Vulnerability Scoring System ,CVSS)第2版,该体系提供了一个系统评分基准,并以此来为漏洞评价严重性。去年,甲骨文公司采纳了该系统来扩充其搜索安全信息的方法。
负责甲骨文公司全球技术业务安全性的经理Eric Maurice在公司安全部的博客里写道,应反复地强调CVSS为评定漏洞的危险程度提供了一个标准,并且我认为这是非常有意义的。
换句话说,CVSS能够帮助客户理解查找出系统内漏洞的重要意义,并且它能够评定那个漏洞危险性最高,对产品需求的危害性最大,这样系统补丁才能够正确地修复漏洞。Eric Maurice还补充道,由于新的更新包括了CVSS 2.0,因此新的标准有了更大的变化,它更能代表现实的漏洞。
但是应用数据安全公司Imperva的CTO Amichai Shulman表示,由于新版本的CVSS有更多的评分参数,因此分数还是一样的。Shulman还表示:“根据本公司的分析,我们建议安全人员应仔细注意构成危险的细节问题,而不是仅仅接受评分。比如危险性最高的漏洞评分仅有6.5分(满分是10分),然而黑客很容易远程利用这一漏洞。并完全控制数据库。这是一个非常严重的漏洞,但是它的评分不会反映这一事实。”
但是无论甲骨文公司如何真正的测量漏洞的严重性,甲骨文公司的用户都必须尽快升级补丁。用户有必要基于已修复漏洞的安全级别,依照甲骨文公司就修复过程和说明所提出的建议,来采取措施保护自己的数据。