绿盟安全月刊->第54期->安全新闻 甲骨文未公布漏洞信息　用户面临更大风险

出处：赛迪网
日期：2004-12-06

赛迪网

    【赛迪网讯】市场分析机构Gartner日前发出警告，甲骨文拒绝披露最近在其产品中发现的被列为“严重1级”（Severity 1）安全漏洞将使其用户面临更大的风险。据Gartner透露，11月9日在和Gartner的交涉中甲骨文拒绝披露更多有关安全漏洞的细节，此前甲骨文已发布了漏洞修补文件－68号安全补丁。

    数据库巨头甲骨文坚持认为，之所以不披露相关细节是出于遵守自己的一贯政策。

    甲骨文最先于8月31日发布了安全补丁，后来又在于10月14日重新发布了警告，此时“概念型验证病毒”（proof-of-concept exploit code）已在互联网上开始漫延。该安全漏洞涉及甲骨文数据库服务器、应用服务器和企业经理管理程序（Enterprise Manager）。甲骨文对该漏洞的评级为“严重1级”，属安全等级最高级。

    由Gartner分析师Neil MacDonald和Rich Mogull共同起草的安全公告表示，“甲骨文拒绝透露用户不使用68号安全补丁可能会面临的风险；此外，甲骨文还没有表示该漏洞是否会波及老的、不受支持的版本；最可怕的后果是几乎所有的甲骨文数据库都可能面临着风险。”

    Gartner也承认，公开详细的漏洞细节可能会有助于黑客成功入侵，但Gartner也强调指出，提供漏洞被入侵的细节毕竟与告诉公众未加防范可能面临严重后果有所不同吧。

    Gartner表示，“我们坚持认为，甲骨文拒绝告诉公众不使用补丁可能面临什么危险的做法是错误的；系统管理员得不到足够的信息，他们不知道哪个服务器应优先防护或者哪些数据是最危险的，由于不知情可能延误及时进行打补丁。”

    据甲骨文介绍，黑客可能会使用一个看起来合法的SQL*NET命令行利用漏洞，而不会使用一些明显有问题的很轻易就被过滤的命令行。Gartner的公告进一步指出，“假如甲骨文向用户提供更多的有关漏洞的信息，用户就会采取更加积极的应对措施，比如采取升级防火墙、启用入侵拒绝系统和SQL*NET应用防火墙等防范措施。”

    Gartner建议使用甲骨文支持版本软件的公司立即申请补丁，而使用7.x或8.0x等甲骨文不再提供支持的老版本产品的用户立即进行升级或采取备用方案。

    公告还建议甲骨文客户使用基本密码来保护数据不受未经授权的入侵，并时刻查询甲骨文Metalink FAQ提供的最新补丁信息。