4月11日,软件安全专家警告甲骨文服务器用户称,一个软件安全漏洞能够让任何用户阅读、修改和删除甲骨文应用程序使用的数据。这位安全专家还警告称,甲骨文也许已经不明智地向黑客展示了如何利用这个以前还不知道的安全漏洞。
据InfoWorld网站报道,Red-Database-Security(红色数据库安全)机构的Alex Kornbrust本周一称,上周四在甲骨文MetaLink知识库中发表的一篇文章指出了甲骨文服务器企业版9.2至10.2.0.3版本中存在一个安全漏洞。这个安全漏洞允许只有只读权限的甲骨文用户删除和修改甲骨文应用程序使用的数据。这个知识库文章发表的样本代码向甲骨文用户显示了如何利用这个安全漏洞。
甲骨文发言人在电子邮件声明中称,甲骨文已经知道Kornbrust发现的那个安全漏洞,并且正在准备在即将推出重要补丁更新中发布一个补丁解决这个问题。
有关甲骨文软件安全的专家Kornbrust说,在接到可能造成安全威胁的通知之后,甲骨文删除了MetaLink知识库中的那篇文章。然而,能够访问MetaLink知识库的黑客也许已经从那篇文章中拷贝下来了如何利用这个安全漏洞的代码。
据InfoWorld网站看到的这篇知识库中的文章称,这个安全漏洞影响甲骨文软件中名为“updatable join view”(可更新联合查看)的功能。这项功能允许甲骨文用户主动更新或者删除基本数据库表中的信息。
Kornbrust说,对这个数据库表只有“SELECT”(选择)权限的用户原来只能阅读和显示这个表中的数据。但是,利用甲骨文MetaLink知识库中那篇文章介绍的方法,用户现在可以删除和更新那个数据库表中数据或者向这个表中插入新的数据。
Kornbrust不愿意详细介绍如何利用这个安全漏洞的方法。但是,他说,恶意黑客也许从MetaLink知识库的文章中已经拷贝了利用这个安全漏洞的代码。