【51CTO 5月8日外電頭條】一般來說，只要某家軟件公司針對自己的產(chǎn)品發(fā)布補(bǔ)丁，咱們都應(yīng)該第一時間積極部署，因為它們對于修復(fù)漏洞而言意義重大。不過有時候補(bǔ)丁并不是真正的補(bǔ)丁，只不過是更改了配置而已。

就拿甲骨文公司在上周早些時候所發(fā)布的補(bǔ)丁為例。根據(jù)Qualys安全產(chǎn)品公司的意見，這款補(bǔ)丁專為編號CVE-201-1675的問題所發(fā)布，并解決了名為“TNS Poison”的零日漏洞——該漏洞允許攻擊者通過在TNS監(jiān)聽器中注冊額外的數(shù)據(jù)庫實例來開展中間人攻擊。正如Wolfgang Kandek在他的博文中所說：

該漏洞存在于甲骨文數(shù)據(jù)庫服務(wù)器的TNS監(jiān)聽器之中，允許攻擊者通過在TNS監(jiān)聽器中注冊額外的數(shù)據(jù)庫實例來開展中間人攻擊。監(jiān)聽器將為這一新實例啟動流量負(fù)載平衡功能，攻擊者則會借此獲取并記錄數(shù)據(jù)庫信息、最終轉(zhuǎn)發(fā)給原始數(shù)據(jù)庫?？傊ㄟ^這種方式，攻擊者有機(jī)會對原始數(shù)據(jù)庫服務(wù)器中的信息以及執(zhí)行命令加以篡改。

問題在于，甲骨文對于這個漏洞采取的行為只是發(fā)布了一個配置更改，而沒有開發(fā)一個真正意義上的補(bǔ)丁。Dark Reading網(wǎng)站的Ericka Chickowski指出，這只是甲骨文公司一系列客戶服務(wù)事故中的例子之一，目前其數(shù)據(jù)庫應(yīng)用程序幾乎已經(jīng)成為漏洞和缺陷的代名詞。而在對Josh Shaul的采訪中，這位來自Application Security公司TeammSHATTER團(tuán)隊的安全專家表達(dá)了以下觀點：

我們都在日常生活中不知不覺對這些系統(tǒng)產(chǎn)生了依賴性，從銀行取款機(jī)到辦公樓里的停車收費站，它們幾乎可以說是無處不在。然而事實上這些系統(tǒng)都存在著諸多漏洞，而且某些在這數(shù)年之間從來沒有得到修復(fù)，這的確令人感到不安——但從現(xiàn)在開始嘗試積極解決問題還為時不晚。如果大家負(fù)責(zé)的正好是數(shù)據(jù)庫安全或者其它一些包含大量敏感數(shù)據(jù)的系統(tǒng)，請務(wù)必提高警惕，因為攻擊者完全可以通過這些遲遲未被曝光的舊漏洞對我們的信息實施新打擊。

為什么甲骨文公司在為自己的數(shù)據(jù)庫以及其它應(yīng)用軟件提供及時有效的補(bǔ)丁方面表現(xiàn)如此糟糕，令無數(shù)安全專家感到失望？Shaul認(rèn)為，客戶應(yīng)該盡量嘗試將自己的聲音傳達(dá)給軟件開發(fā)商，這種對完美服務(wù)的需求會對開發(fā)商修復(fù)產(chǎn)品的積極性帶來極大的推動作用：

那些花費數(shù)百萬美元購置數(shù)據(jù)庫軟件的企業(yè)無疑擁有強(qiáng)大的話語權(quán)，無論是安全風(fēng)險透明度還是安全缺陷評估報告，只要這類客戶想要，甲骨文公司就得想盡辦法滿足。不過在此之前，甲骨文這類軟件供應(yīng)商只會按時提供例行修復(fù)，而哪些問題迫在眉睫、哪些風(fēng)險危害更大則全由他們自己說了算。

這種例行修復(fù)無法滿足需求？現(xiàn)在是時候給這幫企業(yè)沙文主義者一點顏色瞧瞧了。針對甲骨文公司的不作為，TeamSHATTER是這樣評估的：

1. 這不是一個補(bǔ)丁，只是一個一步一步教你如何通過配置的方式繞過漏洞的系統(tǒng)教程而已。
2. 甲骨文公司必須立即對原有授權(quán)模式進(jìn)行革新。用戶原本就應(yīng)該得到執(zhí)行這個配置更改的權(quán)限，而不是購買了“高級安全”功能才行。
3. 就以我們在文章開頭所談到的漏洞為例，這個問題甲骨文公司已經(jīng)發(fā)現(xiàn)了整整四年了，但仍然沒有著手解決的意思……很明顯，只要沒有人抗議，他們就打算一直拖延下去。這種習(xí)慣太可怕了，誰知道還有多少未被發(fā)現(xiàn)的漏洞困擾著用戶？也許沒有想象中那么多，但也絕不會太少。
4. 甲骨文公司正在繼續(xù)努力淡化CVSS（通用弱點評價體系）對自身的評估，并宣稱這一關(guān)鍵性漏洞的嚴(yán)重性評分為7.5。那么來自外部的聲音呢？所有與甲骨文無關(guān)的安全研究人員不約而同地為其打出了CVSS中的最高評分：10.0分。

原文：A Patch Is Not Always a Patch