甲骨文不小心自曝未修補的漏洞

甲骨文（Oracle）上周四（4/6）不小心在自己的顧客支援網站Metalink上公開了該公司資料庫軟體中的漏洞，雖然旋即在上周五移除該漏洞資訊，不過已有安全研究人員Alexander Kornbrust把此一情況張貼於Full Disclosure的郵件清單中。

這個漏洞可能影響甲骨文資料庫9.2.0.0到10.2.0.3等版本，若要攻擊該漏洞，駭客必須先取得甲骨文資料庫帳號，不過，該漏洞卻可讓甲骨文資料庫用戶取得更多的系統權限，進而更改資料，甚至改變資料庫密碼。

Alexander Kornbrust說，甲骨文所公布的不僅是漏洞的詳細資訊，還包括了一支漏洞測試程式。

諷刺的是，過去甲骨文即使是在已有修補程式的情況下，亦不願公開漏洞細節，同時也曾批評那些揭露甲骨文產品漏洞的安全研究人員，而這次卻是甲骨文自己疏忽導致未修補的漏洞曝光。

甲骨文發言人表示，該公司預計在未來每季的重大修補更新時提供該漏洞的修補程式。甲骨文下一次的每季重大更新日期為下周二（4/18），但該公司並未明確指出會在下周提供此一修補程式。

Alexander Kornbrust認為甲骨文並不會在下周就推出該漏洞修補程式，因此主動提出了幾個暫時修補方案供網友參考。（編譯/陳曉莉）