甲骨文2年没有修正安全缺陷 是缺乏人手所致?

2009-05-12 07:06:25来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折

CNET科技资讯网7月20日国际报道 据一名德国安全研究人员称,甲骨文的一些产品中存在一些严重的尚未修正的安全缺陷。他表示,尽管在二年前就已经知道了这些安全缺陷,但甲骨文一直没有能够修正它们。

  德国当地时间本周二,红色数据库安全公司的亚历山大发布了针对6 个缺陷的安全公告,其中的5 个缺陷存在于“Oracle Reports”企业报告工具中,另一个存在于“Oracle Forms”。

  他在发送给News.com的一封电子邮件中说,我在二年前就向甲骨文通报了这些缺陷。为了敦促甲骨文修正这些缺陷,他在4 月份向甲骨文表示,如果它不能在7 月份发布补丁软件,他就将公布这些缺陷。

  据亚历山大发布的安全公告称,最严重的缺陷能够让黑客控制甲骨文用户的系统。亚历山大认为3 个缺陷“危险性很高”,2 个缺陷“危险性中等”,1 个缺陷“危险性较低”。

  他说,这些问题影响多种版本的甲骨文产品,其中包括最新版本的10g 数据库。

  甲骨文拒绝就亚历山大的报告发表评论。甲骨文的一名代表表示,公司认为,在发布补丁软件前,缺陷的详细资料不应当被公布于众。他在一份电子邮件声明中说,我们对安全研究人员不遵守业界最佳行为规则感到失望。

  iDefense和eEye数字安全公司的安全专家称,亚历山大是一位受人尊敬的研究人员,他在过去曾在甲骨文的产品中发现过缺陷,但这些缺陷都已经被修正了。

  iDefense的一名实验室主管迈克尔表示,如果亚历山大说的是真的,我认为这是软件厂商不认真修正安全缺陷的最坏的例子之一。客户需要一个明确的解释,希望甲骨文能够对亚历山大的公告作出公开的响应。

  亚历山大认为甲骨文是在拖延时间,在不支持旧版本产品后,在新版本产品中悄悄修正这些缺陷是很容易的。英国的一名安全专家称,甲骨文产品中可能存在多达250 个尚未修正的安全缺陷,甲骨文可能没有足够的安全人员来修复它们。

  亚历山大表示,他不知道有利用这些缺陷的攻击发生。他还在报告中提出了保护系统的临时性措施。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:惠尔浦若收购美泰成功 将有悖美国反垄断条例

下一篇:美联邦政府计划加大无线通信投入 增至33亿美元