Oracle尚存44个漏洞 两年半前就已有

一名德国的数据库安全工程师日前撰文指出，到目前为止，甲骨文软件产品中还有44个尚未修补的漏洞。这些漏洞从被发现至今从十二天到两年半不等。

　　德国信息安全机构“红色数据库安全”的工程师亚力山大·科布鲁斯特日前在Buqtraq安全邮件列表上发表了这篇文章。他说，这四十四个漏洞主要集中在甲骨文的数据库产品上。其中，最老的漏洞早在两年半之前被发现者报告给了甲骨文，最新的漏洞则是在十二天之前被发现。

　　科布鲁斯特谈及的四十四个漏洞包括各种SQL语句插入漏洞、交叉脚本攻击漏洞、明文密码泄露漏洞等。他说，这些漏洞在甲骨文公司未来的安全更新中将得到修补，但他也不清楚甲骨文升级软件或发布修补具体漏洞的时间。

　　去年，甲骨文首席安全官玛丽·安娜·戴维德森的一席话在信息安全界引发骚动。安娜称，在已经发现的甲骨文软件漏洞中，有四分之三是该公司自己的工程师发现的。科布鲁斯特据此计算，甲骨文软件尚未得到修补的漏洞应该在一百六十个左右。

　　“让我们作一个算术，根据玛丽·安娜·戴维德森的说法，四分之三的漏洞是甲骨文自己发现的，我们发现的四十四个如果是剩下的四分之一，那么甲骨文至今尚未修改的至少还有一百六十个漏洞。”科布鲁斯特在文章中写道。

　　近来，有关甲骨文软件漏洞的新闻又不时涌现网络。两周前，甲骨文发布的新安全更新包号称修补了三十多个漏洞，随后，NGS软件公司的工程师大卫·里奇菲尔德曝出，甲骨文三次发布补丁也没有能把一个存在两年多的漏洞修补好。

　　科布鲁斯特在其文章中得出结论说：“在修补软件漏洞方面，甲骨文的确有点慢条斯理。”