专家称甲骨文许多漏洞长期得不到修复

一个熟悉的故事

　　对于甲骨文来说，对于其发布补丁的过程提出批评并不是一件新鲜事。甲骨文的重要补丁更新一般都是在第三方发布警告称这些安全漏洞没有修复或者没有正确地修复之后才发布的。

　　Litchfield一直是甲骨文安全努力的不客气的批评家。当他在甲骨文发布2006年1月份的重要补丁更新之后对甲骨文的发布补丁的努力提出批评之后，甲骨文进行了反击。甲骨文称，它对Litchfield披露可以利用的安全漏洞的信息感到失望。

　　甲骨文首席安全官Mary Ann Davidson过去在采访中曾经承认，她的公司的补丁程序还不完善。但是，甲骨文已经采取了朝着正确的方向发展的步骤。她说，甲骨文决定每个季度为数据库管理员发布一次补丁更新就是一个例子。

　　的确，数据库管理员对每个季度发布一次安全补丁的周期表示支持。但是，最近几个月，对发布补丁迟缓的抱怨也在增加。

　　甲骨文没有立即对这篇报道发表评论。

　　Kornbrust说，甲骨文只要改善与用户之间的沟通就可以减少许多批评。例如，甲骨文的重要补丁更新应该更清楚地解释那些安全漏洞是非常重要的，哪一些安全漏洞数据库管理员不需要使用补丁就可以修复。

　　他说，甲骨文提供的补丁信息非常复杂。最新的安全补丁被列为严重等级。问题是，如果一个安全漏洞是严重的，整个安全补丁都会被认为是严重的。但是，对于数据库管理员来说，根据他们的基础设施的不同，有些安全漏洞会比另一些安全漏洞更严重。

　　Kornbrust说，在这种情况下，数据库管理员需要一些信息，帮助他们决定什么时候使用补丁，什么时候最好采取绕过漏洞的措施。

　　在甲骨文解决沟通和补丁程序问题之前，信息安全专业人员会在他们的机构中慎用甲骨文的产品吗?研究机构Illuminata公司的一位分析师Jonathan Eunice说，不会。他说，所有大的、复杂的产品都有瑕疵，无论是数据库管理软件还是应用程序都是如此。客户的数据需要这些软件程序，因此，不管你愿意不愿意，这都不会改变。任何问题都需要认真地了解，任何建议的变化都需要认真测试。这需要时间。

　　他说，这个时间也许比每个人喜欢的时间都长一些。但是，为了提高速度，先部分修复一个安全漏洞，然后在这个过程中再制作更多的补丁。这种方法是有帮助的。虽然甲骨文的软件确实不是牢不可破的，但是，我发现它也不是非常差。
(e129)