甲骨文释出修补程序

    在一家私人安全机构发现了新的潜在漏洞之后，软件巨头甲骨文（Oracle）公司为其不够完善的数据库服务器发布了一个修补程序。

    这一修补程序的出现，差不多距离“英国Next Generation Security Software公司的主管人员David Litchfield提出这些漏洞以引起甲骨文的注意力”已有月余时间。

原文链接：http://www.softhouse.com.cn/html/200507/2005071115310400009179.html

    在四月份发布的“Critical Patch Update”中，甲骨文对数据库以及应用服务器产品中的70处安全漏洞进行了修复。但是，在例行检查期间，Litchfield发现修补程序把scripts发送到了错误的目录，因此真正的“漏洞源”并没有得到修补。

    Litchfield在接受有关媒体采访时还指出：“在对四月份的更新进行分析时，我注意到了其中有些失败之处，换句话说，修补程序想要解决的某些确定的问题事实上被遗漏了。”

    进一步说，Litchfield指出他发现的问题存在于Java 类文件中。“四月份的更新未能完全载入新近修补的类文件，这就意味着原来存在的问题仍在继续。”他补充道，并且警告不完善的修补程序将会影响到所有平台。

    Litchfield表示，在Windows操作系统中（不管是32位，还是64位），他发现了另一个缺陷问题——能导致普通访客获取访问数据库的完全管理权限。Litchfield说：“一旦你获取了这些特权，那么在该数据库中你将能够为所欲为！”

    更多细节请访问：http://www.eweek.com/article2/0,1759,1835203,00.asp

原文转自：http://www.ltesting.net