【TechTarget中国原创】Oracle周二在本季度的紧急补丁更新中发布了43个补丁，修复数据库管理系统、应用服务器和应用产品线中的漏洞。

　　Oracle紧急补丁更新包含的补丁可以修复16个数据库漏洞，影响Oracle Database 11g、10g和9i。Oracle Resource Manager中的漏洞可以分配紧急补丁更新资源，它的CVSS（常见罗东评分系统Common Vulnerability Scoring System）评分是9。它可以允许攻击者获取数据库的全面控制。Oracle说，这个漏洞影响Oracle Database Server 9.2.0.8和9.2.0.8DV。

　　数据库和应用安全厂商Imperva Inc.的 首席技术官Amichai Shulman说，这个漏洞可能是数据库列或语句触发器中的一个SQL注入漏洞。
 
　　Shulman说：“以我的经验看来，在数据库本身上存在等级这么高的漏洞很不平常。”

　　Oracle的Global Technology Business Unit的安全经理Eric Maurice告知用户，企业需要在配置补丁前采取减缓措施。

　　Maurice在Oracle 产品安全博客中写道：“这样的措施包括对这些系统的额外的监控，以及保证已经在其上采取了恰当地网络访问控制措施”

　　Maurice说，CVSS分数第二高的漏洞（7.1分）相对不太严重，因为它要求全面的数据库权限，包括输入数据库的能力。

　　Oracle修复了Oracle Application Server 10g中的12个漏洞。CVSS分数最高的漏洞是7.5分，影响OPMN服务。这项服务可以监察和控制应用服务器组件和实例。它可以攻击者用户获取应用服务器的部分控制权，并访问敏感信息。

　　Oracle继续为其BEA产品线发布高度严重的补丁。所发布的八个安全补丁中的两个的CVSS基本分数是10。其中一个严重漏洞是在Oracle JRockit中，这是用于修复Java应用故障检修的Java开发和运行平台。另一个漏洞存在于BEA WebLogic服务器本身上。这两个漏洞都可以被攻击者远程利用，而不需要认证，而且可以给他们访问服务器的全面权限，并窃取敏感信息。

　　Imperva的Shulman说：“我认为他们在本质上这些产品都对不需要认证就可以背利用的漏洞很敏感。”

　　Oracle的旗舰企业资源管理软件E-Business套件中有了三个漏洞补丁。Oracle说，这个漏洞包含中Oracle的应用对象库、应用构架（applications framework）和technology stack中。最高的CVSS分数是6.8。Oracle PeopleSoft和 JDEdwards软件套件中存在四个新的安全补丁。

　　在一月，Oracle发布了41个安全补丁，修复BEA WebLogic服务器和Secure Backup管理软件中的几个严重漏洞。

小编推荐：安全补丁管理指南