本周二，一个德国的数据库安全机构公开发表关于Oracle数据库产品的漏洞信息，称在Oracle的表单(Form)和报表(Report)中发现了6个漏洞，都未发布相应的补丁。并且，有几个漏洞还是高危级别的，而表单和报表又是两个应用广泛的面向企业的产品。

Red-Database-Security GmbH，是一个致力于Oracle安全审计方面的公司，它发出的警告称，最严重的漏洞可能会给黑客使用Web浏览器重写目标应用服务器上任何文件的机会。

Red-Database-Security公司创建者即首席执行官Alexander Kornbrust说，这6个漏洞中的3个被认为是“高危的(critical)”，是因为使用受其影响的产品的企业会有很大的危险。

在一次接受Internet新闻机构Ziff Davis的采访中，Kornbrust说在决定公开发布这则消息前，他已经等了Oracle 700天来处理这些问题。

Kornbrust说他满怀希望，想在Oracle7月份发布的“关键补丁更新”中看到对这几个漏洞发布的补丁，因为这几个漏洞确实很严重并且Oracle的表单和报表应用范围非常广。

Oracle表单是其开发者组件的一个组成部分，Oracle报表是其企业汇报工具。

受影响的产品特性在Oracle应用服务器中非常明显，并且也用于Oracle的电子商务套件。

Kornbrust说：“Oracle很长一段时间都不对关键的安全bug打补丁的行为是顾客所不能接受的。”他警告说长时间的耽误“使客户处于危险之中”。

他补充说：“Internet上的任何黑客至少能够利用这6个漏洞中的1个。”

Kornbrust说3个月前，他就通知了Oracle安全组，说如果在7月发布的补丁更新里没有对这些漏洞提出解决方案的话，他将打算发布这些bug的详细信息。

他说：“我知道Oracle的产品很复杂，我也知道开发出一个高质量的补丁需要时间。所以如果3个月不够的话我可以给Oracle更多的时间处理问题，但Oracle从没跟我说需要更多时间。”

他继续说：“我决定发布这些漏洞，是因为通过使用Oracle在咨询中提供的工作区(workaround)，很可能会削弱这些漏洞的危险性。”

Kornbrust已经在Oracle德国公司、瑞士公司和IBM Global Services做过多年的顾问工作，他说对于Oracle没有给这些漏洞打补丁，他本人并没有感到失望，也不感到惊奇。

他说：“这是Oracle对于安全处理的常规方式，对付关键的bug，他们总是花很长很长时间。很多年来，一直如此。”

以前，Oracle已经因为太慢对关键的安全问题做出响应而受到过严厉的指责。

去年夏天，在拉斯维加斯的BlackHat简报中，研究人员破记录地发布了Oracle产品中没有得到解决的二、三十个安全漏洞的详细信息。

那时，Oracle承认他们几个月前就已经认识到了这些漏洞，其中有些还是高危漏洞。

那次事件对公关方面的影响促使Oracle开始了季度性地发布补丁，这样，每年就会发布四次“关键补丁更新”。

但是，看起来，这位数据库大亨好像仍在奋力处理那些研究人员所指出的漏洞。

据来自Kornbrust的咨询消息称，Oracle的用户在补丁发布前可以暂时使用工作区(workaround)来获得保护。

漏洞涉及面非常广，从跨站点脚本(cross-site-scripting)、信息暴露(information disclosure)、文件重写(file overwrite)到在目标应用服务器上运行操作系统命令，应有尽有。

本月初，在一个私营安全研究机构指出潜在安全问题尚未得到解决之后，Oracle发布了一个非完全数据库服务器补丁。

在David Litchfield——总部设在英国的下一代安全软件公司(Next Generation Security Software Ltd.)的经理主管——提醒Oracle公司注意补丁的错误之前，这个补丁已经运行了差不多一个月。

OVER