美國東部時間4月11日（北京時間4月12日）消息：甲骨文公司似乎在無意中泄露出了一些關(guān)于其數(shù)據(jù)庫軟件中的某個未修復(fù)的安全漏洞的詳細(xì)資料，其中還包括一個可以用來利用該漏洞發(fā)起攻擊的代碼樣品。有關(guān)該漏洞的詳細(xì)資料在上個星期四被公布在甲骨文公司Metalink客戶支持門戶網(wǎng)頁上。 
      德國Neunkirchen市的Red Database Security公司的安全研究員Alexander Kornbrust在星期一早上給電子郵件中的所有聯(lián)系人都發(fā)了一封電子郵件詢問事態(tài)的發(fā)展，因此整個安全界都知道了這件事。Kornbrust說，甲骨文公司在星期五的時候在被告知那個Metalink注解與安全隱患有關(guān)之后，它就將相關(guān)資料從網(wǎng)上撤了下來。
      甲骨文公司在星期一的時候說，它計(jì)劃解決這個問題。 甲骨文公司女發(fā)言人在星期一說：“甲骨文公司現(xiàn)在已經(jīng)獲悉那些完全公開的資料與甲骨文Database 9i和Database 10g中的某個安全漏洞有關(guān)，我們計(jì)劃在近的季度重要補(bǔ)丁更新的時候向客戶們提供一個補(bǔ)丁文件以修復(fù)這個漏洞。”
      甲骨文公司下一次安全更新的日期是4月18日。
      要想利用這個漏洞發(fā)起攻擊，攻擊者首先必須擁有甲骨文數(shù)據(jù)庫的帳戶，因此這個問題不大可能被攻擊者通過網(wǎng)絡(luò)利用。但是，通常只能讀取而不能修改數(shù)據(jù)庫資料的數(shù)據(jù)庫用戶可以建立一個特殊的查詢來獲得修改數(shù)據(jù)庫資料的權(quán)力。
      從9.2.0.0版到10.2.0.3版甲骨文公司數(shù)據(jù)庫軟件，不管運(yùn)行在哪種操作系統(tǒng)上，都存在這個漏洞。
      Kornbrust認(rèn)為甲骨文公司在四月份的安全更新中不一定能夠修復(fù)這個漏洞，因此他已經(jīng)發(fā)表了一些針對這個問題的應(yīng)對措施。這些應(yīng)對措施的網(wǎng)址是：http:∥www.red-database-security.com/advisory/oracle_modify_data_via_views.html。
      他說他已經(jīng)決定將有關(guān)這個問題的所有資料公諸于眾，因?yàn)橐呀?jīng)有很多人看過了甲骨文公司的Metalink注解，給其他甲骨文用戶帶來了一定的威脅。
      比較諷刺的是，這個未修復(fù)漏洞的攻擊代碼的初始來源正是甲骨文公司自己。Kornbrust說：“這次甲骨文公司不能再責(zé)備安全研究員們了。”
      甲骨文公司沒有解釋它是如何會不小心地泄露這些敏感信息的，但是Kornbrust猜測它是由于它們的支持組織的錯誤造成的。他說：“我認(rèn)為這也許是甲骨文公司支持組織中的某個人發(fā)現(xiàn)了這個漏洞但是他并不知道這個漏洞與安全有關(guān)。 我想這個可憐的家伙原本是為了幫助其他人才把這些資料公布出來的。”（王飛）