【泄的甲骨文】甲骨文意外泄漏数据库安全漏洞
【shitiku.jxxyjl.com--Oracle动态】
甲骨文的下一次重要的补丁更新还有一个星期才能发布。但是,甲骨文数据库的用户已经有一个安全漏洞需要担心了。而这个安全漏洞似乎是甲骨文自己意外泄漏的。据德国red-database-security gmbh公司著名的数据库安全研究人员和业务经理alexander kornbrust说,甲骨文在其metalink客户技术支持网站上意外刊登了介绍这个安全漏洞文章,内容还包括如何利用这个安全漏洞。
kornbrust在red-database-security网站上发表的一个帖子说,甲骨文4月6日在metalink网站上发表了一篇文章,详细介绍了一个没有修补的安全漏洞以及利用这个安全漏洞的代码。这个安全漏洞影响到从9.2.0.0至10.2.0.3版的所有版本的甲骨文数据库软件。他说,这篇文章还出现在metalink网站的每日要闻栏目中,并且发送给了每日要闻栏目的订阅用户。
他说,这种“高风险、升级权限”的安全漏洞发生在甲骨文数据库处理有权限的用户制作的某些视图时发生的错误引起的。获得“select”权限的恶意用户能够利用这个安全漏洞嵌入、更新或者删除任意的代码。
著名的安全漏洞清除机构法国安全事件反应小组分析了这个安全漏洞并且发布了自己的安全公告,把这个安全漏洞列为中等危险的漏洞。
kornbrust说,在知道了这个安全漏洞之后,他用电子邮件向甲骨文通报了有关这篇泄漏安全漏洞的那篇文章。然后,甲骨文删除了metalink网站上的那篇文章。他在red-database-security网站上批评甲骨文的这种做法。他说,这样泄漏安全漏洞通常会伤害到其他人。
他说,甲骨文通常批评个人或者企业发布有关甲骨文的安全漏洞信息。但是,这一次,甲骨文在metalink网站上不仅详细介绍了这个安全漏洞而且还提供了利用这个安全漏洞的代码。
甲骨文发言人没有立即对提供评论的要求给予答复。但是,kornbrust表示,甲骨文已经对他说将来发布的重要补丁将修复这个安全漏洞。甲骨文下一次发布重要补丁更新的发布时间是在4月18日星期二。kornbrust对甲骨文能够在那个时候修复这个安全漏洞表示怀疑。
在这个安全漏洞被修复之前,kornbrust建议可以采取如下绕过漏洞的措施:
采取措施保证连接角色(connect role)的安全并且从中删除“create view”(创建视图)和“create database link”(创建数据库链接)的权限。从数据库表中删除主要键值也是一种选择,不过,这样会引起这个数据库应用程序的性能和完整性问题。
相关试题
- [oracle中国公司地址]ORACLE公司倾情中国软件人才培训
- 【官方消息是什么意思】官方消息:Oracle 8i认证即将退休
- [jdbc连接oracle数据库的连接字符串]JDBC连接Oracle数据库之十大技巧
- oracle最新的研究_Oracle研究人员公布高危安全漏洞
- [深度分析炼石航空]深度分析:Oracle收购JBoss &BEA开源kodo
- 【ccf计算机认证考试】计算机认证考试方兴未艾
- oracle是哪个公司开发的|Oracle公司考虑开发属于自己的Linux
- [oracle]Oracle 10g 认证在6月初开考
- oracle|Oracle 认证的专家之见
- [oracle dba认证]全球获得Oracle认证人数最新统计
-
[oracle dba认证]全球获得Oracle认证人数最新统计详细阅读
来自oracle的消息: 最近根据oracle公司统计,全球oracle认证获得者已经超过了20万人。 根据oracle官方数据,目前全世界已经有203000人通过oracle认证。这个数字在2003年早先的统计是187000人,在2002年的时候是113000可见在最近2年的增长率是十...
-
oracle收购sun_Oracle或将收购Jboss? 相关各方保持缄默详细阅读
美国东部时间2月13日(北京时间2月14日)据海外媒体的最新报道:近日,有传文称甲骨文公司有意再次出资收购一家或多家开源软件公司,但是甲骨文公司却对此传闻不予理睬并拒绝就其发表任何评论。 近日业界传称:甲骨文公司有意收购开源java中间件公司jboss,并且《商业周刊》还通过一...
-
oracle初始化参数文件_Oracle初始化参数的来源详细阅读
很多人在通过v$parameter查找初始化参数的来源时迷了路。 这有两方面原因,一是oracle把本质隐藏的很深;一是我们对oracle认识不够深入。我们应该按照如下方式追踪:1 v$parameterselect * from v$fixed_view_definit...
-
【oracle dba认证】全球获得Oracle认证人数最新统计详细阅读
来自oracle的消息: 最近根据oracle公司统计,全球oracle认证获得者已经超过了20万人。 根据oracle官方数据,目前全世界已经有203000人通过oracle认证。这个数字在2003年早先的统计是187000人,在2002年的时候是113000可见在最近2年的增长率是十...
-
oracle_Oracle 10g OCP DBA的考试科目减少到两门详细阅读
2004年6月21日消息:o目。racle公布了关于10g的认证体系,考试科目的数量变化相当引人注 oracle10g的初级水平证书,要求学员通过一门考比,早期的9i版本的对应认认证是oca(oracle certified d试:oracle database...
-
it认证考试网|2006年IT认证考试报名 考试流程 报考须知指南详细阅读
it认证报名须知:考前准备有效身份证件及一张一寸免冠证件照; 电子邮件(确保你的电子邮件能够使用); 联系电话(至少在3个月内能联系到你); 考生要清楚的知道你所要考科目。 it认证考试流程如果您是第一次参加全球联网的计算机认证考试,请阅读如下的考试流程介绍。如您还有疑问,欢迎电话咨询当地...
-
[ibm oracle]IBM、Oracle把PHP应用到SOA中详细阅读
我们已经完全错过php了吗?,这个问题是上周ibm高级开发人员mike burr在纽约php大会及2006展览上提出的。人们关心php什么时候能更好地适应企业对面向服务架构的需求。ibm相信,他们已经找到了答案。 ibm过去一直关注长期应用。集中在效率、投资回报率、性能和稳定性...