甲骨文修補23個重大漏洞

每季都會發表漏洞修補程式的甲骨文（Oracle）在周二（10/18）針對23個重要安全漏洞提出修補程式，涵蓋它的資料庫、伺服器及企業端應用程式。

在23個重要安全漏洞修補程式中，有7個屬於Oracle旗鑑產品─Oracle 10g資料庫系統的程式修補，包括主要伺服器、Grid Control、應用軟體伺服器、Oracle Collaboration Suite、資料庫控管等。Oracle也針對其他兩款資料庫系統Oracle 9i及Oracle 8i推出修補程式。

另外，PeopleSoft企業端工具與客戶關係管理（CRM）系統，以及JD Edwards EnterpriseOne/OneWorld XE也在這次的修補範圍內。

甲骨文說，包括資料庫伺服器、企業管理、應用軟體伺服器及Oracle Collaboration Suite是屬於累積更新，每一個連續的重要漏洞更新都涵蓋了前一次的修補。而E-Business Suite/Applications則非累積更新，因此這些產品的用戶應該先去查詢先前的更新資訊，看是否有更新需要。

依照慣例，Oracle在發布修補程式時，僅揭示安裝前注意事項、提供「關於我」（readme）檔案，以及FAQ，並未說明這些漏洞所會造成的具體結果。Oracle每年會發布四次修補程式，分別是在1月、4月、7月及10月。

NGS Software管理部門總監Litchfield抱怨，Oracle對被揭露漏洞的回應都很遲緩，特別是在資料庫伺服器上，Litchfield在追蹤臭蟲的討論區寫說，Oracle常常用很簡陋的方式處理漏洞，只要讓機器能再度運轉就行，並沒有很認真地處理問題。Litchfield還指出他在今年2月就向Oracle舉報臭蟲，Oracle確定知道此一問題，但到現在都10月了，Oracle的資料庫伺服器仍能輕易地被攻擊。編譯／陳曉莉