甲骨文當地時間18日發布7月份的安全更新,共修補65項軟件缺失,包括許多跨產品的嚴重問題。
這次的修補包括許多嚴重弱點。負責安全警告的甲骨文資深經理Darius Wiles表示,65個錯誤中有27個能被匿名的遠端攻擊者利用。
甲骨文不建議任何替代方案,僅呼吁顧客盡速修補系統。Wiles說:“我們依嚴重順序修補瑕疵。Critical Patch Update(重要補丁程序更新,簡稱CPU)部分是最緊急的。我們強烈建議顧客盡速執行這些安全補丁程序。”
甲骨文7月份的CPU共修補23個數據庫產品瑕疵、1個Collaboration Suite協力套裝軟件的問題、10個Application Server瑕疵、20個E-Business Suite與Application的相關問題、4個位於Enterprise Manager的弱點,仁科(PeopleSoft)的Enterprise門戶軟件和JD Edwards軟件,也分別有兩個和一個漏洞完成修補。
此外,搭配甲骨文數據庫的客戶端軟件,這次也有4個安全弱點進行修補。這是甲骨文自2005年1月推出CPU以來,第二度提供PC軟件的更新。
Wiles說:“顧客需要考慮用7月份的CPU更新其桌面型電腦,但絕大多數的CPU只針對數據庫服務器。”
根據甲骨文的安全警告,客戶端軟件的4個瑕疵中,有3個被視為嚴重問題,因其不需任何驗證,就能被遠端攻擊者利用。這次更新也涵蓋該公司今年4月意外曝光的一個數據庫弱點。
甲骨文對安全主題一向采取保密和封口政策,但4月6日卻在其MetaLink客戶網站上,公布一個未修補瑕疵的細節。
同時間,甲骨文的安全更新政策也遭受外界的猛烈批評。該公司希望這次能一舉洗刷惡名,Wiles說:“我們的目標是在正式的公布日,提供有品質的補丁程序。”
Wiles表示,7月份的更新應涵蓋250項甲骨文產品在多種操作系統平台的軟件修補。但其中尚有10項未完成,某些可能需要更長的時間。
甲骨文並未發現這次修補的弱點有被用來發動任何攻擊。該公司對安全問題的反應過慢一直飽受安全專家诟病。Wiles說,目前接獲通報的問題,都將用未來的更新陸續解決。