【IT专家网独家】据软件安全研究员称，由于一个无法修补的漏洞和可利用代码错误，Oracle的旗舰数据库软件有可能遭到广泛的攻击。VeriSign's iDefense 实验室在上周发现了Oracle Database 10gR2的这个漏洞，并警告用户，该软件的早期版本也可能受到威胁。

　　Symantec公司已经警告其客户，“XDB.XDB_PITRIG_PKG.PITRIG_DROP METADATA”进程的“OWNER”和“NAME”两个参数会受到该问题的影响。特别是如果这两个参数合并后的长度过大，那么当执行一个SQL查询时，将会有一个缓冲区溢出。虽然这个攻击需要到数据库进行认证，但是成功的攻击能够远程执行代码。概念验证式攻击代码早在一个星期前就被发布到网络上了。

　　Oracle公司声称在Database 10g中已经修复了这个代码缺陷，但不会在下一个Critical Patch Update(每季度升级一次)发布之前发布补丁，而下一个Critical Patch Update的发布时间定于2008年1月15日。

　　Symantec建议用户在补丁发布之前最好部署网络入侵监测系统(IDS)以便监测恶意活动的流量，并且只允许可信任的雇员访问数据库。

IT专家网原创文章，未经许可，严禁转载！