甲骨文释出169个安全更新,其中最值得注意的是,资安专家David Litchfield提醒,E-Business Suite中有一个后门漏洞将允许骇客读取资料库中的所有资料。
CTI论坛(ctiforum)1月22日消息(记者 李文杰):甲骨文(Oracle)于周二(1月20日)释出了169个安全更新,修补旗下众多产品的安全漏洞,涵盖资料库、Fusion、E-Business Suite、PeopleSoft及Oracle Java SE等。
其中最值得注意的是,资安专家David Litchfield提醒,E-Business Suite中有一个后门漏洞将允许骇客读取资料库中的所有资料。
由于甲骨文的产品众多,因此每季的例行性更新(Critical Patch Update,CPU)都会发表大量的更新程式。Litchfield表示,甲骨文此次修补了他所提交的11个安全漏洞,其中E-Business Suite有一个安全漏洞让他非常吃惊,调查后发现这是在安装该产品就会出现的后门漏洞,将允许骇客存取资料库的所有内容。
根据媒体报导,Litchfield是在检查客户系统时发现该后门,当时他以为这是骇客留下的后门,最后才知道这是该产品的漏洞。此一漏洞允许任何使用者建立一个可以系统管理员权限执行的功能,进而掌控该软件。
甲骨文并未公布所修补漏洞的细节,仅透露针对E-Business Suite的漏洞修补影响11.5~12.2.4之间的11个版本。
甲骨文则警告,该公司收到一些攻击报告是锁定已被修补的漏洞,某些成功案例是源自于客户没有妥当部署这些安全更新,因此强烈建议客户尽速修补。
