【赛迪网讯】在一家研究机构发现一个潜在的缺陷没有得到彻底修正后,企业软件巨头甲骨文公司已经发布了一款针对此前一个不完善的补丁软件的补丁软件。
在此前一个月,英国新一代安全软件公司的管理主管大卫向甲骨文提交了有缺陷的补丁软件的报告。甲骨文在4月份发布的“危急补丁升级包”修正了数据库和应用服务器产品中的70个安全缺陷,但在例行的测试中,大卫发现,该补丁会向错误的目录发送脚本,而真正的漏洞则没有被堵上。大卫在接受媒体采访时说,在对4月份的升级包进行分析时,我注意到其中有一些错误所在,该补丁希望修正的一些缺陷并没有得到真正的修正。在进行测试后发现情况的确如此,一个Java类没有被正确地加载。
大卫表示,通过进一步地分析,他发现真正的漏洞存在于Java类文件中。4月份的补丁升级包没有能够正确地加载修正后的类,这意味着该缺陷仍然能够被黑客所利用。
在32位和64位版本的Windows上,大卫发现了第二个问题,该问题使具有较低权限的guest用户能够获得一个数据库的管理员权限。他说,一旦获得管理员权限,就可以对数据库执行任何操作。
大卫表示,通过利用CTXSYS.DRILOAD获得管理员权限,权限提高缺陷能够使黑客运行任意的SQL代码。他说,这一问题早在2004年8月份就得到了修正,但4月份的“危急补丁升级包”将修正后的SQL脚本文件拷贝到了错误的目录,如果没有安装2004年8月份和2005年1月份的补丁软件,用户仍然会受到该缺陷的影响。
大卫称,他在6月初就象甲骨文通报了这些问题,相信这些问题已经得到了修正。他说,甲骨文已经用电子邮件向下载这些补丁软件的用户通报了这一问题。甲骨文的客户应当知道这一问题,如果不采取其它措施,它们仍然会受到这些缺陷的影响。(e103)
