甲骨文修補101個漏洞

甲骨文在本周二（10/17）的每季更新日修補了101個漏洞。其中有63個漏洞存在於甲骨文的資料庫產品中，14個漏洞與應用伺服器有關，13個漏洞在E-Business Suite中，9個漏洞存在於PeopleSoft產品中，另兩個漏洞各自位於Pharmaceuticals及JD Edwards軟體中。

此次的更新也是甲骨文首次採用通用漏洞評估系統（Common Vulnerability Scoring System，CVSS）來進行漏洞風險分級，CVSS總計有一到十級，每一級都有相關風險描述。

在所有的漏洞中，總計有45個漏洞可讓駭客在未經授權的狀態下進行遠端攻擊。其中，有1/3的資料庫產品漏洞可能招致相關攻擊，應用伺服器漏洞中有13個也有同樣風險，另外還有兩個可能導致遠端攻擊的漏洞則分別位於E-Business Suite及PeopleSoft中。

此外，在63個資料庫產品漏洞中，有35個是在甲骨文的Application Express中，其中有25個被列為最危險等級。

不過，甲骨文的安全通知資深經理Darius Wiles表示，Application Express為選擇性安裝功能，並沒有很多用戶使用，因此影響較不大，反之，企業應該注意較受歡迎的應用伺服器漏洞，並且儘速更新。

甲骨文是自2004年11月開始提出每季固定更新計畫，過去甲骨文的軟體更新一直為人所詬病，包括更新速度緩慢、漏洞資訊缺乏等，而甲骨文也在客戶的要求下逐漸改善更新策略。

一安全專家Pete Finnigan就稱讚甲骨文的改變雖然不完美，可是已比過去好很多。

但資料庫安全業者Imperva技術長Amichai Shulman卻指出，此次甲骨文所修補的資料庫漏洞中，有一些跟之前所修補的漏洞很類似，如果同樣的資料庫產品中一直出現同樣的漏洞，那可真令人震驚。（編譯/陳曉莉）