据外电报道,Oracle即将为其数据库发布21个补丁,使用说明和相关产品,这在其四年的补丁历程中是一个里程碑。但是一个经常访问Oracle用户的软件主管称仅有三分之一的Oracle数据库管理员采用了这些补丁。
Slavik Markovich是Sentrigo(一个数据库安全公司)的首席技术官,他声称自己自八月份以来一直在美国的Oracle用户组介绍相关产品,每一次介绍中他都要求与会者举手表决有多少用户采用了Oracle最新补丁更新,他也问到有多少人至少采用过一次Oracle的补丁更新,然而回答使他感到很震惊,在去年8月的一次会议中,40名与会者中只有两名称采用过最新的补丁,15人称他们在Oracle四年的补丁发展历程中至少安装过一次补丁。剩余的62%人自2004年11月以来从未安装过任何补丁。
Slavik Markovich指出,“这样可能有很多数据库存在漏洞和安全隐患”,软件生产商是否该使大众关注漏洞和袭击方法,这是一个两难的问题。Oracle发布的只是补丁,不是数据库或他们希望修复的应用服务器描述,但是Markovich指出通过补丁黑客能发现如何找到这些数据库或服务器。
他建议数据库管理员采用补丁的同时,考虑另外的保护措施,比如Hedgehog(信号途径)。如果他们不能在使用补丁前做所有必要的测试,Hedgehog是一种采用“虚拟补丁”的方式,或者在数据库外安装一层保护层,以便抵御更多攻击。
