数据库软件商甲骨文周承诺会尽快修补被英国安全研究员发现的30多个漏洞。

　　虽然漏洞的详情没有对外公布，但Next-Generation 安全软件商副总监David Litchfield上周曾在洛杉矶的黑帽安全简报（Black Hat Security Briefings ）上针对此主题说明了大概情形。

　　“甲骨文十分重视安全……我们已经解决这些问题了，且会尽快发布安全警告。”甲骨文在新闻稿中如此表示。

　　数据库漏洞原本在上周就要公布，但由于尚未有修补程序，因此该安全研究员决定延后发布。Litchfield已经在一月就通知该公司这些问题，有些漏洞还被列为紧急（critical）。

　　Litchfield周二表示虽然他一再指出这些数据库漏洞，但甲骨文却因内部的信息发布政策一变再变，因此至今尚未公布任何修补文件。他认为安全修补程序一再延后，显示甲骨文只把公司放第一位，客户摆后面。

　　“里面有很多问题，但他们却把客户置于不必要的风险当中，延后公布修补档好几个月显示他们相当短视。”他表示。

　　甲骨文在今年曾针对Oracle 11i E-Business 套装软件发布过一个严重漏洞的修补程序。

　　Litchfield拒绝详细说明软件漏洞的情况，他担心这样可能会导致黑客可快速对甲骨文客户发起攻击，他仅表示这些问题有大有小，包括常见的缓冲溢位（buffer overflow ）问题，到一些密码设定不良等。在某些情况下，用户甚者可以不用密码/ 帐号就可取得甲骨文系统的权限；有时后仅有局部权限的用户也可自行升级至较高的馆数据库管理员权限。

　　Litchfield表示他是在两年前看到甲骨文的“unbreakable ”（攻不破）营销广告后开始深入研究甲骨文软件的漏洞。在同事的协助下，他自称在24小时内就找到将近50个甲骨文数据库软件的漏洞。

　　“甲骨文自吹软件攻不破大概是很不智的行为，我知道即使在他们公司内部也引起一些侧目。”他说，“但营销人员在作宣传文案时往往不会先跟开发人员作讨论，即时到了现在，他们也顶多只能说这种说法证明甲骨文有改善产品安全的决心罢了。”