[Oracle]遭批评：数据库补丁仍有风险

一位安全研究员警告，甲骨文公司最近一次的安全更新，并未修补一项已遭利用的数据库瑕疵。

上周，甲骨文发布每季的Critical Patch Update（重要修补更新），解决超过30个瑕疵。然而，根据Next Generation Security Software研究员David Litchfield发给Full Disclosure的信息，针对10g Release 2的更新，并未挡住某个已公开的漏洞。

这起上周发生的攻击，不包含在甲骨文本次修补的范围内，而是新的问题，但专家起初以为是其中一项已修补的弱点。

Litchfield指出，入侵者仍可借由数据库的（DBMS）输出扩展，取得系统的较高权限 – 该元件一直是许多问题的来源。

赛门铁克（Symantec）警告其DeepSight情报服务的使用者，其他版本的10g也可能受影响。

该公司表示：“我们强烈建议数据库管理员在取得软件商提供之适当修补方案前，取消DBMS输出扩展的公众执行许可。”甲骨文尚未回应。

Litchfield对甲骨文没有反应10g Release 2这项问题感到失望，他写道：“这个瑕疵早在2006年2月19日便通报给甲骨文。”

他接着详细说明其他与此相关的问题，并指出他在2004年4月初次通报后，甲骨文曾尝试解决这些问题，但失败。

安全研究员对甲骨文处理问题的反应过慢和配合度过低有诸多批评。对此，甲骨文的安全长曾回应，研究员本身就是产品安全的大石头。
(e129)