Oracle在季度更新中修復(fù)了154個(gè)漏洞。專家表示其應(yīng)該更快更新補(bǔ)丁，不過(guò)Oracle依舊維持其更新現(xiàn)狀。

[[153505]]

Oracle在其新的季度更新中對(duì)超過(guò)50款產(chǎn)品修復(fù)了154個(gè)漏洞，不過(guò)專家稱Oracle應(yīng)該加快其更新節(jié)奏，至少是為了那些銷量比較好的產(chǎn)品。

本次更新中，Java和融合中間件修復(fù)最多，分別修復(fù)25個(gè)和23個(gè)。特別是Java漏洞風(fēng)險(xiǎn)最大，根據(jù)Oracle的說(shuō)法，25個(gè)修復(fù)中有24個(gè)漏洞可被在沒(méi)有身份驗(yàn)證的情況下進(jìn)行遠(yuǎn)程利用。而融合中間件的23的漏洞中有16個(gè)可被遠(yuǎn)程利用。

Oracle軟件安全保障主管Eric Maurice在其博客中表示，企業(yè)應(yīng)該盡快打補(bǔ)丁，以解決大量的漏洞。

Qualys Inc. CTO Wolfgang Kandek和Tripwire Inc.安全研究主管Tyler Reguly認(rèn)為Oracle應(yīng)該加快其更新節(jié)奏，特別是為那些應(yīng)用更為廣泛的產(chǎn)品，比如Java和融合中間件，就安全方面來(lái)講，3個(gè)月的周期太長(zhǎng)。

“補(bǔ)丁周期過(guò)長(zhǎng)會(huì)影響個(gè)人和企業(yè)的桌面安全。就我個(gè)人來(lái)講，我覺(jué)得季度補(bǔ)丁周期對(duì)如今的產(chǎn)品來(lái)講都太久了，”Reguly說(shuō)道。“改成每月或是兩月一次進(jìn)行更新將大大改善其產(chǎn)品的安全性。”

Maurice則堅(jiān)持讓Oracle保持原來(lái)的更新節(jié)奏。

“關(guān)鍵更新一年四次，提前一年公布，這意在讓Oracle的客戶能按時(shí)制定更新計(jì)劃，以便其保持企業(yè)良好的安全狀態(tài)，”Maurice表示道，“這種有計(jì)劃的更新可讓Oracle用戶將安全補(bǔ)丁融入其常規(guī)維護(hù)工作中去。”

不過(guò)，Reguly認(rèn)為Oracle的這種想法已經(jīng)不合時(shí)宜了，這些年度的、半年的以及季度的更新對(duì)用戶來(lái)說(shuō)都是一種“傷害”。

“Oracle及其他幾個(gè)大公司的補(bǔ)丁邏輯曾被認(rèn)為是主流的。不過(guò)，時(shí)代在改變，補(bǔ)丁節(jié)奏應(yīng)該加快，”Reguly說(shuō)道。“為適應(yīng)這個(gè)更強(qiáng)調(diào)安全的時(shí)代，大公司的補(bǔ)丁節(jié)奏要更及時(shí)。”