【51CTO 5月8日外电头条】一般来说,只要某家软件公司针对自己的产品发布补丁,咱们都应该第一时间积极部署,因为它们对于修复漏洞而言意义重大。不过有时候补丁并不是真正的补丁,只不过是更改了配置而已。
就拿甲骨文公司在上周早些时候所发布的补丁为例。根据Qualys安全产品公司的意见,这款补丁专为编号CVE-201-1675的问题所发布,并解决了名为“TNS Poison”的零日漏洞——该漏洞允许攻击者通过在TNS监听器中注册额外的数据库实例来开展中间人攻击。正如Wolfgang Kandek在他的博文中所说:
该漏洞存在于甲骨文数据库服务器的TNS监听器之中,允许攻击者通过在TNS监听器中注册额外的数据库实例来开展中间人攻击。监听器将为这一新实例启动流量负载平衡功能,攻击者则会借此获取并记录数据库信息、最终转发给原始数据库。总之,通过这种方式,攻击者有机会对原始数据库服务器中的信息以及执行命令加以篡改。
问题在于,甲骨文对于这个漏洞采取的行为只是发布了一个配置更改,而没有开发一个真正意义上的补丁。Dark Reading网站的Ericka Chickowski指出,这只是甲骨文公司一系列客户服务事故中的例子之一,目前其数据库应用程序几乎已经成为漏洞和缺陷的代名词。而在对Josh Shaul的采访中,这位来自Application Security公司TeammSHATTER团队的安全专家表达了以下观点:
我们都在日常生活中不知不觉对这些系统产生了依赖性,从银行取款机到办公楼里的停车收费站,它们几乎可以说是无处不在。然而事实上这些系统都存在着诸多漏洞,而且某些在这数年之间从来没有得到修复,这的确令人感到不安——但从现在开始尝试积极解决问题还为时不晚。如果大家负责的正好是数据库安全或者其它一些包含大量敏感数据的系统,请务必提高警惕,因为攻击者完全可以通过这些迟迟未被曝光的旧漏洞对我们的信息实施新打击。
为什么甲骨文公司在为自己的数据库以及其它应用软件提供及时有效的补丁方面表现如此糟糕,令无数安全专家感到失望?Shaul认为,客户应该尽量尝试将自己的声音传达给软件开发商,这种对完美服务的需求会对开发商修复产品的积极性带来极大的推动作用:
那些花费数百万美元购置数据库软件的企业无疑拥有强大的话语权,无论是安全风险透明度还是安全缺陷评估报告,只要这类客户想要,甲骨文公司就得想尽办法满足。不过在此之前,甲骨文这类软件供应商只会按时提供例行修复,而哪些问题迫在眉睫、哪些风险危害更大则全由他们自己说了算。
这种例行修复无法满足需求?现在是时候给这帮企业沙文主义者一点颜色瞧瞧了。针对甲骨文公司的不作为,TeamSHATTER是这样评估的:
- 这不是一个补丁,只是一个一步一步教你如何通过配置的方式绕过漏洞的系统教程而已。
- 甲骨文公司必须立即对原有授权模式进行革新。用户原本就应该得到执行这个配置更改的权限,而不是购买了“高级安全”功能才行。
- 就以我们在文章开头所谈到的漏洞为例,这个问题甲骨文公司已经发现了整整四年了,但仍然没有着手解决的意思……很明显,只要没有人抗议,他们就打算一直拖延下去。这种习惯太可怕了,谁知道还有多少未被发现的漏洞困扰着用户?也许没有想象中那么多,但也绝不会太少。
- 甲骨文公司正在继续努力淡化CVSS(通用弱点评价体系)对自身的评估,并宣称这一关键性漏洞的严重性评分为7.5。那么来自外部的声音呢?所有与甲骨文无关的安全研究人员不约而同地为其打出了CVSS中的最高评分:10.0分。