甲骨文發表E-Business 11i 修補程式

甲骨文（Oracle）針對甲骨文E-Business Suite 11i中的Oracle Diagnostics診斷程式發表了修補程式，該診斷程式漏洞可在未登錄情況下就允許使用者進行某些診斷測試。

甲骨文固定每季發表一次更新程式，下一次更新日期為4月18日，這是甲骨文第一次在更新日期以外發表修補程式，也是首次通知客戶在更新程式中含有安全更新，甲骨文對於修補更新之事一向低調，以避免駭客了解這些漏洞進而發動攻擊。

率先揭發這些漏洞的甲骨文產品安全軟體供應商Integrigy表示，在Oracle Diagnostics Web pages及Java classes中存在一些高危險的安全漏洞，特別是Oracle Diagnostics的漏洞讓有些診斷測試不用經過認證就可以執行，並可能將診斷測試設成無限制。

Integrigy指出，甲骨文此次提供的修補程式還修補了其他身份識別的問題，以及部份SQL漏洞。

即使新的修補程式應該不會影響其他甲骨文產品的運作，而且甲骨文也不贊成採用暫時措施，不過Integrigy仍建議不能採用此修補程式的甲骨文用戶可以暫時關閉連結到Oracle Diagnostics網頁的功能，並移除Oracle Diagnostics舊版本。

甲骨文從資料庫系統大廠逐漸跨足到一般應用程式市場，但這並不是甲骨文首次更新應用程式中的診斷測試工具及功能，在去年第二季及第三季甲骨文都曾經更新相關功能。

此外，甲骨文在今年1月發表的Critical Patch Update所更新的上百個漏洞中，有19個位於 E-Business Suite。（編譯/ 陳曉莉）