【TechTarget中国原创】Oracle周二在季度严重补丁更新（CPU）中发布了41个安全补丁，修复BEA WebLogic服务器和Secure Backup管理软件中的严重漏洞。

　　Oracle的严重补丁更新公告解决了之前的BEA生产线中的严重漏洞。这些漏洞影响Apache、Sun、IIS Web服务器和WebLogic Portal中的Oracle WebLogic Server Plugin。Oracle说这些漏洞可以被攻击者在没有认证的情况下利用。影响Oracle WebLogic Server的CVSS评分最高10.0分的漏洞影响 Apache、Sun和IIS Web服务器的 WebLogic Server Plugin。

　　Oracle的Global Technology Business Unit中的安全经理Eric Maurice告诉用户WebLogic插件中最近存在几个严重的漏洞。2008年十月的严重补丁更新中包含两个严重漏洞。八月还发布了非常规更新，修复Apache Connector组件中的危险漏洞。 

　　Maurice在Oracle产品安全博客中说： “这些漏洞的发现使WebLogic Server Plugin得到了极大的关注，所以这些组件都被详细检查了，包括我们的道德黑客团队的深度检查……”

　　数据库和应用安全报告和审计厂商Imperva Inc.的首席技术官Amichai Shulman说BEA WebLogic Server被攻击危险性最大，因为它是面向边界的。
 
　　Shulman说：“（Oracle）还将继续关注这种产品，因为我认为在厂商回应前发布Web服务器漏洞是一种文化。我认为在一段时间内，WebLogic人员可能不会对安全事件作出相应，而有些研究人员会存在挫败感。”

　　Oracle修复的其他漏洞存在于Secure Backup磁盘备份管理软件中。Oracle说所有的这些漏洞都可以在没有认证时被远程利用。

　　全厂商Fortinet发布了公告列出了这些漏洞。Fortinet说它的研究小组发现了五个可以被攻击者用于远程执行代码的漏洞。Fortinet说，Secure Backup中包含一个缓冲器溢出漏洞，它可以通过发送一个畸形的NDMP客户认证包而被利用。研究小组说，其他漏洞可以被用于造成软件崩溃。

　　Oracle Secure Backup漏洞CVSS分数最高10分的是Windows版本的产品和其他平台上的7.5版本。Oracle说它的Secure Backup安全漏洞在10.2.0.3中修复了。

　　这次CPU还包含了Oracle Database中的十个新的安全漏洞补丁。这些漏洞存在于Job Queue、Oracle OLAP、Oracle Spatial和Oracle Streams中。他们影响 Oracle Database 9i、10g和11g。Oracle Database的最高CVSS分数是5.5。

　　数据库安全厂商Sentrigo Ltd.的首席技术官Slavik Markovich说，这一批数据库安全更新的威胁比上个季度的更新要小一些。有些受到影响的工具不是经常使用的。他说，但是，有些数据库的风险很高。

　　Markovich说：“有些漏洞对权限的要求很低，所以如果可以在数据库中创建一个会话，就可以拥有这个数据库。建议只安装所需要的软件，如果有不使用的功能，就要干脆地移除。”

　　Imperva的Shulman说已经知道Oracle Spatial信息包中的漏洞的存在了。Shulman说，对其他漏洞访问的复杂性很低，这就意味着对他们的利用很简单。

　　Shulman说：“这里我们所看到的都是普通的SQL注入类型和存储程序漏洞。我认为这些漏洞（CVSS）分数是5.5的并不会有真正的风险。”

　　Lumension Security Inc.的安全和理论分析师Paul Henry说，Oracle CPU符合上一个季度的更新。Henry说Oracle在2006年存在的漏洞高达82个，而每个季度包括大约40个。

　　这次CPU还包括一些其他更新，包括一个修复Oracle Times Ten Data Server中的几个错误的补丁。Oracle说，在real-time， in-memory database中的一个漏洞可以不认证就被远程利用。CVSS的基本分数是7.5。

　　Oracle Application Server有四个安全补丁。Oracle说其中两个可以不使用认证就被远程利用。这个漏洞最高的CVSS分数是5.0。

　　还有一个补丁修复Oracle Collaboration Suite中的漏洞，Oracle Collaboration Suite为企业信息提供工具和功能。Oracle说 Oracle Collaboration Suite中的Collaborative Workspaces组件会受到漏洞的影响。Collaborative Workspaces是建立在Oracle Collaboration Suite上的项目界面。它允许用户共享文件，策划会议，以及通过论坛或者邮件完成项目。

　　这些CPU还包括Oracle E-Business Suite中的四个安全补丁。Oracle iProcurement、Oracle Application Object Library和 Oracle Applications Framework以及Platform Engineering中存在漏洞。

　　有六个安全更新修复PeopleSoft和JDEdwards套件中的漏洞。影响PeopleSoft Enterprise Components的漏洞的最高CVSS分数是6.5。JDEdwards Tools中的一个漏洞也被修复了。没有人证，这些Oracle的漏洞就不能被远程利用。