By Robert Westervelt
【IT168 资讯】
作为季度关键补丁更新的一部分,甲骨文公司为其WebLogic Server修补了Apache插件程序里一个严重缺陷以及处理多于两打的其它产品漏洞。甲骨文说它的安全升级包含了36个补丁。
甲骨文公司发布6个补丁处理前BEA的产品线的漏洞。其中5个漏洞可以被远程攻击者利用攻击。Eric Maurice,甲骨文全球技术事业部的安全主管,警告客户说最严重的漏洞位于甲骨文WebLogic Server的Apache插件中。该漏洞可能被黑客远程攻击,并得到了公共漏洞评分系统( CVSS )恶劣的10分评价。攻击者不需要进行验证就可以完全控制服务器。
这个CPU(重要补丁更新的简称)包括了Oracle数据库的15个新安全脆弱性补丁。最高的CVSS评分为6.5 。一个更为关键的漏洞位于Oracle核心关系数据库管理系统,它可能未经验证就被远程控制。此漏洞利用了Oracle客户端软件和Oracle服务器之间的网络协议。它利用Oracle服务器的代理账户机制。这个安全漏洞影响Oracle数据库9.2.0.8 , 9.2.0.8DV , 10.1.0.5 , 10.2.0.2 。
总部位于加州福斯特市的Imperva公司首席技术官Amichai Shulman说,相比之前的CPU,十月份发布的漏洞要少一些。七月份Oracle发布了45个数据库和应用程序补丁。他说本月发布的许多数据库补丁修复了SQL注入漏洞。
Shulman 说:“虽然他们的CVSS评分不高,我认为它们实际上比此分数更具威胁性。”
Oracle也修补了它Publish 和iPublish包的漏洞,此软件包程序在执行某些服务时需要控制和检查数据库里的特定列的变化。该漏洞影响Oracle数据库10.1.0.5 , 10.2.0.4 , 11.1.0.6 。
Shulman说:“在过去的两年里这些软件包被一遍一遍得至少修补了三次。”
此外,发布了Oracle应用服务器6个新的安全更新。甲骨文表示,两个更新是用于Oracle门户可能被未经认证的人远程利用。另外,发布四个安全更新解决部分Oracle电子商务套件的问题。Oracle应用技术栈和iSupplier门户的漏洞问题使它们可能不经认证就被远程利用。CVSS给予这两个漏洞中等风险的 5.0分。
甲骨文为它的PeopleSoft Enterprise和JD Edwards EnterpriseOne 产品发布5个安全漏洞补丁。甲骨文说其中两个漏洞可能不经认证就被远程利用。
原文链接:http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1334777,00.html