【TechTarget中国原创】周二，Oracle 公司发布了45个安全补丁用以解决生产线中的漏洞。这次是季度严重补丁更新（Critical Patch update，CPU）。

　　这次严重补丁更新包括14个Oracle 数据库产品的补丁。11个更新会影响到数据库11g、Database 10g和Database 9i。Oracle称所有需要解决的漏洞在没有认证的情况下，都不会被远程攻击。Oracle称，有三个更新解决TimesTen In-Memory 数据库漏洞中的漏洞，而这些漏洞可以不经过认证就被远程攻击。

　　Sentrigo Ltd.的CTO（chief technology officer）Slavik Markovich说，因为Oracle修复的很多漏洞都需要认证，这次的漏洞所带来的威胁比上一次要小。但是这仍然不能阻止黑客获取帐户的访问权，并提升用户权限。

　　Markovich 说：“这次更新明显比上一次的风险低很多，但是它还是非常危险。有很多方法破解账户并列举出来。”

　　Next Generation Security (NGS) Software的研究总监David Litchfield上周二发布了公告，警告这次更新修复的漏洞之一可以被非授权用户利用来“获得后门Oracle数据库服务器的全面控制权。这可以通过前端Web服务器实现”。

　　这个漏洞存在于PL/SQL信息包中。PL/SQL信息包是Oracle应用服务器安装在后门数据库上的。Litchfield在电子邮件列表的全面报道中说，这个信息包容易受到PL/SQL注入。

　　Oracle使用CVSS 2.0.版本对这些漏洞进行了评分。CVSS评分最高的漏洞影响Oracle数据库产品6.5版本，而Markovich和其他人说这个漏洞的等级是高。

　　他说：“搞分数实际上表述数据库系统被控制了。但是黑客不需要控制系统，它们需要的知识数据。”

　　Integrigy Corp.的CTO Stephen Kost说，这个分数是6.5的漏洞应该看成是高风险。他说，这个漏洞可能是黑客有能力攻击整个数据库。Kost在严重补丁更新预报分析中说：“最有兴趣的漏洞式中心RDBMS和认证组建，但是数据库替调度日程漏洞也会引起注意。”

　　严重补丁更新还包括就个Oracle应用服务器的安全补丁。这些补丁漏洞可以不经过漏洞就被远程攻击。还有六个解决Oracle电子商务套间中的漏洞；七个修复Oracle WebLogic服务器中的安全补丁。Oracle称，没有影响JD Edwards的安全补丁。

　　Oracle软件安全担保经理Eric Maurice在Oracle的安全博客中说这次更新首次把BEA、TimesTen和Hyperion产品纳入了严重补丁更新中。

　　Maurice说：“由于目前Oracle严重补丁更新的程序和BEA值钱使用的补丁程序类似，所以把BEA包括进CPU中的速度特别快。”