专家称甲骨文许多漏洞长期得不到修复

甲骨文可能在新的产品中增加更多的安全代码。但是，一些专家表示，这对于使用充满漏洞老的甲骨文软件的企业来说没有什么帮助。

　　这些专家补充说，甲骨文发布补丁的过程仍然使人们不满意，因为甲骨文经常忽略一些关键的安全漏洞，时间长达几个月甚至几年的时间，从而使企业的数据库容易受到各种攻击。德国Red-Database-Security GmbH公司数据库安全研究员和业务经理Alexander Kornbrust说，甲骨文上个月发布的重要补丁更新就是这种不充分的极好例子。这个补丁更新修复了甲骨文各种产品中的36个安全漏洞。但是，有些补丁还不完善，还有许多其它的问题没有解决。

　　Kornbrust的网站保留一个甲骨文公开的安全漏洞的列表。这个列表最新列出的安全漏洞是45个。最早的一个安全漏洞是在2003年发现的。许多安全漏洞是在去年首次发现的。而且这些安全漏洞全都是Kornbrust本人发现的。

　　Kornbrust说，如果你统计不同的研究人员发现的每一个东西，甲骨文的产品有130至140个公开的安全漏洞。甲骨文的代码和产品的质量正在越来越好。但是，甲骨文修复安全漏洞所用的时间太长了。按照我的观点，一年以上的安全漏洞是不可接受的。

　　《Oracle Security Step By Step》一书的作者Pete Finnigan也赞成这样的观点。他对于这个主题发表了许多受欢迎的博客文章。他在电子邮件采访中表示，甲骨文尽了很大努力改进比较新的产品中的代码。但是，甲骨文没有尽力修复老产品中的安全漏洞。由于许多用户没有使用甲骨文最新的产品，因此，这是一个问题。他说，我问过的许多人都没有使用甲骨文数据库10g第二发布版。甲骨文的重点应该放在大多数用户正在使用的版本上。

　　Finnigan对甲骨文4月份的补丁更新中推迟发布某些平台的安全补丁也感到不以为然。他说，这个补丁下载网页称，有些平台的补丁将在5月1日或者5月15日推出。这不是每季度发布补丁的周期。

　　不完善的补丁

　　甲骨文因为发布针对某些安全问题的不完善的安全补丁一直受到批评。Kornbrust说，甲骨文今年4月份发布的不完善的安全补丁之一影响到了“Oracle Spatial”工具软件。他在自己网站上发表的一篇分析文章指出，Oracle 9.2.0.7的一个补丁是不正确的，Spatial软件包中的一个参数没有适当地消毒。这就意味着敏感的数据没有适当地删除或者隔离。

　　英国下一代安全(NGS)软件公司总经理David Litchfield说，甲骨文4月份发布的安全补丁是尽了努力了，但是，没有解决一个早在2004年4月就发现的问题。

　　Litchfield说，他在2004年4月13日首次报告了10g第二发布版中GET_DOMAIN_INDEX_METADATA函数中的一个SQL注入安全漏洞。甲骨文在2004年8月发布了一个修复这个安全漏洞的补丁。但是，那个布丁被证明是不充分的。

　　从那以后，甲骨文每一次发布安全补丁的时候都设法修复这个安全漏洞。但是，Litchfield发现，每一次的补丁都是不完善的。于是，甲骨文在下一次发布安全补丁更新时就再一次发布这个补丁。

　　Litchfield说，我听说2006年4月份的甲骨文重要补丁更新中包含一个补丁。但是，那个补丁仍然有漏洞。他说，甲骨文不能利用第一次机会修复一个安全漏洞令人感到遗憾。甲骨文不能第二次修复一个安全漏洞令人感到诧异。按照我的观点，甲骨文第三次仍然不能修复一个安全漏洞简直是丢脸。