據德國red-database-security gmbh公司著名的資料庫安全研究人員和業務經理alexander kornbrust說,甲骨文在其metalink客戶技術支持網站上意外刊登了介紹這個安全漏洞文章,內容還包括如何利用這個安全漏洞。
kornbrust在red-database-security網站上發表的一個帖子說,甲骨文4月6日在metalink網站上發表了一篇文章,詳細介紹了一個沒有修補的安全漏洞以及利用這個安全漏洞的代碼。這個安全漏洞影響到從9.2.0.0至10.2.0.3版的所有版本的甲骨文資料庫軟體。他說,這篇文章還出現在metalink網站的每日要聞欄目中,並且傳送給了每日要聞欄目的訂閱用戶。
他說,這種“高風險、升級許可權”的安全漏洞發生在甲骨文資料庫處理有許可權的用戶製作的某些視圖時發生的錯誤引起的。獲得“select”許可權的惡意用戶能夠利用這個安全漏洞嵌入、更新或者刪除任意的代碼。
著名的安全漏洞清除機構法國安全事件反應小組分析了這個安全漏洞並且發布了自己的安全公告,把這個安全漏洞列為中等危險的漏洞。
kornbrust說,在知道了這個安全漏洞之後,他用電子郵件向甲骨文通報了有關這篇泄漏安全漏洞的那篇文章。然後,甲骨文刪除了metalink網站上的那篇文章。他在red-database-security網站上批評甲骨文的這種做法。他說,這樣泄漏安全漏洞通常會傷害到其他人。
他說,甲骨文通常批評個人或者企業發布有關甲骨文的安全漏洞信息。但是,這一次,甲骨文在metalink網站上不僅詳細介紹了這個安全漏洞而且還提供了利用這個安全漏洞的代碼。
甲骨文發言人沒有立即對提供評論的要求給予答覆。但是,kornbrust表示,甲骨文已經對他說將來發布的重要補丁將修復這個安全漏洞。甲骨文下一次發布重要補丁更新的發布時間是在4月18日星期二。kornbrust對甲骨文能夠在那個時候修復這個安全漏洞表示懷疑。
在這個安全漏洞被修復之前,kornbrust建議可以採取如下繞過漏洞的措施:
採取措施保證連線角色(connect role)的安全並且從中刪除“create view”(創建視圖)和“create database link”(創建資料庫連結)的許可權。從資料庫表中刪除主要鍵值也是一種選擇,不過,這樣會引起這個資料庫應用程式的性能和完整性問題。