绿盟安全月刊->第52期->安全新闻 美国政府警告称甲骨文多款产品存在安全漏洞

出处：新浪科技
日期：2004-10-10

新浪科技

　　新浪科技讯 美联邦政府计算机应急反应小组(US-CERT)和多家软件安全公司日前发布警告称，甲骨文公司多个版本的软件产品存在安全隐患。

　　美联邦政府计算机应急反应小组9月1日发布的一份警告称，甲骨文的软件产品存在多个安全漏洞，这些漏洞可能被人利用，用于关闭计算机或者控制运行这些软件的计算机系统，也有可能被用来销毁或者盗取甲骨文数据库中的资料。

　　甲骨文8月31日在一个布告栏中发布消息称，存在安全漏洞的甲骨文产品包括：8i、 9i和 10g Database，应用服务器(Application Server )和企业经理人软件(Enterprise Manager software)。甲骨文同时提供了相应的补丁程序，详细的说明见：http://www.oracle.com/technology/deploy/security/pdf/2004alert68.pdf。目前，甲骨文和其它公司都没有详细透露有关安全漏洞的细节。

　　甲骨文表示，数据库服务器和应用程序服务器的安全漏洞属于“高”级，利用这些漏洞需要获得一些网络接入条件，但不必获得一个有效的数据用户帐号。企业经理人软件存在的漏洞属于“中”级，利用这些漏洞既需要获得网络接入条件也需要获得有效的用户帐号。

　　据下一代安全软件有限公司(Next Generation Security Software Ltd. )发布的安全警告称，甲骨文产品存在的缺陷可能使相关系统受到“SQL注射攻击”(攻击者将恶意代码注射进基于网络的、用于动态生成网络内容的表单和其它代码里)，拒绝服务攻击和缓存溢出攻击。详细情况请参见：www.nextgenss.com/advisories/oracle-01.txt。

　　甲骨文强烈建议用户安全补丁程序。