甲骨文釋出169個(gè)安全更新,其中最值得注意的是,資安專家David Litchfield提醒,E-Business Suite中有一個(gè)后門漏洞將允許駭客讀取資料庫中的所有資料。
CTI論壇(ctiforum)1月22日消息(記者 李文杰):甲骨文(Oracle)于周二(1月20日)釋出了169個(gè)安全更新,修補(bǔ)旗下眾多產(chǎn)品的安全漏洞,涵蓋資料庫、Fusion、E-Business Suite、PeopleSoft及Oracle Java SE等。
其中最值得注意的是,資安專家David Litchfield提醒,E-Business Suite中有一個(gè)后門漏洞將允許駭客讀取資料庫中的所有資料。
由于甲骨文的產(chǎn)品眾多,因此每季的例行性更新(Critical Patch Update,CPU)都會發(fā)表大量的更新程式。Litchfield表示,甲骨文此次修補(bǔ)了他所提交的11個(gè)安全漏洞,其中E-Business Suite有一個(gè)安全漏洞讓他非常吃驚,調(diào)查后發(fā)現(xiàn)這是在安裝該產(chǎn)品就會出現(xiàn)的后門漏洞,將允許駭客存取資料庫的所有內(nèi)容。
根據(jù)媒體報(bào)導(dǎo),Litchfield是在檢查客戶系統(tǒng)時(shí)發(fā)現(xiàn)該后門,當(dāng)時(shí)他以為這是駭客留下的后門,最后才知道這是該產(chǎn)品的漏洞。此一漏洞允許任何使用者建立一個(gè)可以系統(tǒng)管理員權(quán)限執(zhí)行的功能,進(jìn)而掌控該軟件。
甲骨文并未公布所修補(bǔ)漏洞的細(xì)節(jié),僅透露針對E-Business Suite的漏洞修補(bǔ)影響11.5~12.2.4之間的11個(gè)版本。
甲骨文則警告,該公司收到一些攻擊報(bào)告是鎖定已被修補(bǔ)的漏洞,某些成功案例是源自于客戶沒有妥當(dāng)部署這些安全更新,因此強(qiáng)烈建議客戶盡速修補(bǔ)。
