数据库软件制造商 Oracle 警告客户,使用其具有一个缺陷的电子商务程序的最新版本会将他们的系统置于风险之中。
在上周发布给客户的一个简洁但强硬的劝告性措词中,Oracle 说它的 Oracle 11i E-Business Suited 和 Oracle Applications 11.0 中的一个软件缺陷可能导致攻击者控制支持这些程序的数据库。
“暴露的风险比较高,因为任何具有浏览器访问能力和专业知识的用户都可以使用”这一缺陷,Oracle 在劝告中说。公司将不会提供详细信息。Oracle 已经发布了针对该问题的一个补丁,并力劝客户更新他们的系统。
安全信息提供高Secunia 将这个漏洞归类为“高度危险”,是第二高的风险等级。
这个漏洞是由Integrigy 的首席技术官Stephen Kost 发现的。Integrigy 是一家主要创建保护危险企业应用程序的软件。Integrigy 的劝告与 Oracle 的一致,也指出这个漏洞很容易被利用。
“由于对 Oracle Applications 的攻击可以专门制作,而且一个攻击可能是单一的(HTTP,或超文本传输协议,请求),因此可以避开多数入侵检测和防护系统,从而很容易地设计成功的攻击。”Integrigy 在它的劝告中说。
去年早期,Integrigy 发布了它的用于 Oracle 的电子商务套件(E-Business Suite)的应用程序安全产品AppSentry。一年前,公司还公布了同一 Oracle 产品的另外两个缺陷。