甲骨文的下一次重要的补丁更新还有一个星期才能发布但是甲骨文数据库的用户已经有一个安全漏洞需要担心了而这个安全漏洞似乎是甲骨文自己意外洩漏的
据德国RedDatabaseSecurity GmbH公司着名的数据库安全研究人员和业务经理Alexander Kornbrust说甲骨文在其MetaLink客户技术支持网站上意外刊登了介绍这个安全漏洞文章内容还包括如何利用这个安全漏洞
Kornbrust在RedDatabaseSecurity网站上发表的一个帖子说甲骨文月日在MetaLink网站上发表了一篇文章详细介绍了一个没有修补的安全漏洞以及利用这个安全漏洞的代码这个安全漏洞影响到从至版的所有版本的甲骨文数据库软件他说这篇文章还出现在MetaLink网站的每日要闻栏目中并且发送给了每日要闻栏目的订阅用户
他说这种高风险升级权限的安全漏洞发生在甲骨文数据库处理有权限的用户制作的某些视图时发生的错误引起的获得SELECT权限的恶意用户能够利用这个安全漏洞嵌入更新或者删除任意的代码
着名的安全漏洞清除机构法国安全事件反应小组分析了这个安全漏洞并且发布了自己的安全公告把这个安全漏洞列为中等危险的漏洞
Kornbrust说在知道了这个安全漏洞之后他用电子邮件向甲骨文通报了有关这篇洩漏安全漏洞的那篇文章然后甲骨文删除了MetaLink网站上的那篇文章他在RedDatabaseSecurity网站上批评甲骨文的这种做法他说这样洩漏安全漏洞通常会伤害到其他人
他说甲骨文通常批评个人或者企业发布有关甲骨文的安全漏洞信息但是这一次甲骨文在MetaLink网站上不仅详细介绍了这个安全漏洞而且还提供了利用这个安全漏洞的代码
甲骨文发言人没有立即对提供评论的要求给予答复但是Kornbrust表示甲骨文已经对他说将来发布的重要补丁将修复这个安全漏洞甲骨文下一次发布重要补丁更新的发布时间是在月日星期二Kornbrust对甲骨文能够在那个时候修复这个安全漏洞表示怀疑
在这个安全漏洞被修复之前Kornbrust建议可以采取如下绕过漏洞的措施
采取措施保证连接角色(connect role)的安全并且从中删除CREATE VIEW(创建视图)和CREATE DATABASE LINK(创建数据库链接)的权限从数据库表中删除主要键值也是一种选择不过这样会引起这个数据库应用程序的性能和完整性问题
