甲骨文2年没有修正安全缺陷 是缺乏人手所致？

CNET科技资讯网7月20日国际报道 据一名德国安全研究人员称，甲骨文的一些产品中存在一些严重的尚未修正的安全缺陷。他表示，尽管在二年前就已经知道了这些安全缺陷，但甲骨文一直没有能够修正它们。

　　德国当地时间本周二，红色数据库安全公司的亚历山大发布了针对6 个缺陷的安全公告，其中的5 个缺陷存在于“Oracle Reports”企业报告工具中，另一个存在于“Oracle Forms”。

　　他在发送给News.com的一封电子邮件中说，我在二年前就向甲骨文通报了这些缺陷。为了敦促甲骨文修正这些缺陷，他在4 月份向甲骨文表示，如果它不能在7 月份发布补丁软件，他就将公布这些缺陷。

　　据亚历山大发布的安全公告称，最严重的缺陷能够让黑客控制甲骨文用户的系统。亚历山大认为3 个缺陷“危险性很高”，2 个缺陷“危险性中等”，1 个缺陷“危险性较低”。

　　他说，这些问题影响多种版本的甲骨文产品，其中包括最新版本的10g 数据库。

　　甲骨文拒绝就亚历山大的报告发表评论。甲骨文的一名代表表示，公司认为，在发布补丁软件前，缺陷的详细资料不应当被公布于众。他在一份电子邮件声明中说，我们对安全研究人员不遵守业界最佳行为规则感到失望。

　　iDefense和eEye数字安全公司的安全专家称，亚历山大是一位受人尊敬的研究人员，他在过去曾在甲骨文的产品中发现过缺陷，但这些缺陷都已经被修正了。

　　iDefense的一名实验室主管迈克尔表示，如果亚历山大说的是真的，我认为这是软件厂商不认真修正安全缺陷的最坏的例子之一。客户需要一个明确的解释，希望甲骨文能够对亚历山大的公告作出公开的响应。

　　亚历山大认为甲骨文是在拖延时间，在不支持旧版本产品后，在新版本产品中悄悄修正这些缺陷是很容易的。英国的一名安全专家称，甲骨文产品中可能存在多达250 个尚未修正的安全缺陷，甲骨文可能没有足够的安全人员来修复它们。

　　亚历山大表示，他不知道有利用这些缺陷的攻击发生。他还在报告中提出了保护系统的临时性措施。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有