Oracle发布多个安全补丁

　　作者： Joris Evers

　　常规的每季升级修订了这位商业软件制造商的数据库以及其他产品中的超过30个的漏洞。

　　作为每季度升级周期的一部分，Oracle发布了关于安全隐患的列表，其中包含了很多

产品。

　　紧要补丁升级(Critical Patch Update)中包含了14项与Oracle数据库产品相关的升级，五项关于协作套件(Collaboration Suite)的升级，1项与应用服务器相关，15项与电子商务套件和应用软件相关，两项企业管理器的升级，一项PeopleSoft的企业门户升级以及一项JD Edwards软件的升级。

　　除去这些安全补丁之外，Oracle表示还对现有的用于检查默认账户和密码的工具进行了“重要”改进，这一工具是为了解决“Oracle航行者”（"Oracle voyager"）数据库病毒而在今年一月发布的，该病毒可以利用这些默认项目。

　　“这些安全隐患中很多都是非常重要的，应当尽快进行升级，”安全方案提供商Symantec这样表示，她也通过其DeepSight情报服务向客户发出警报，而且“对于这些问题，Oracle也没有发布其他的解决方法。”

　　一位来自英国约克的安全专家Pete Finnigan在他的blog上写道，这个季度的补丁比前几个季度要少一些，而同时Oracle对于这些问题也提供了更少的细节，Finnigan还注意到大部分关于数据库的缺陷都是与有故障的软件包的命名相关。

　　Finnigan还注意到尽管Oracle已经发布了公告，但是在五月一日前，并不是所有产品在所有平台上的补丁都能发布。“Oracle发布了建议告知其客户去安装数据库的补丁，但是有些客户却只能等待，我想这是一个让人讨厌的方式。” Finnigan写道“如果补丁不能按时提供，那么这并不能称得上是真正的每季度升级。”

　　这位商业软件制造商由于修补安全漏洞的速度缓慢以及与发现漏洞的研究人员不合作而招致攻击。Oracle的首席安全官员Mary Ann Davidson在谈到产品安全的时候表示，软件漏洞捕手本身就有可能是一个问题(bug hunters themselves can be a problem)。

　　在补丁的公告中，Oracle对报告这些漏洞的研究者表示了感谢，他们包括红色数据库安全公司的Alexander Kornbrust，应用软件安全公司的Esteban Martinez Fayo以及下一代安全软件公司的David Litchfield，他们在一份公开的邮件中宣称发现了这些Oracle的漏洞。

　　责任编辑：张琎

　　查看本文的国际来源