甲骨文的下一次重要的補丁更新還有一個星期才能發(fā)布。但是，甲骨文數據庫的用戶已經有一個安全漏洞需要擔心了。而這個安全漏洞似乎是甲骨文自己意外泄漏的。

    據德國red-database-security gmbh公司著名的數據庫安全研究人員和業(yè)務經理alexander kornbrust說，甲骨文在其metalink客戶技術支持網站上意外刊登了介紹這個安全漏洞文章，內容還包括如何利用這個安全漏洞。

    kornbrust在red-database-security網站上發(fā)表的一個帖子說，甲骨文4月6日在metalink網站上發(fā)表了一篇文章，詳細介紹了一個沒有修補的安全漏洞以及利用這個安全漏洞的代碼。這個安全漏洞影響到從9.2.0.0至10.2.0.3版的所有版本的甲骨文數據庫軟件。他說，這篇文章還出現在metalink網站的每日要聞欄目中，并且發(fā)送給了每日要聞欄目的訂閱用戶。

    他說，這種“高風險、升級權限”的安全漏洞發(fā)生在甲骨文數據庫處理有權限的用戶制作的某些視圖時發(fā)生的錯誤引起的。獲得“select”權限的惡意用戶能夠利用這個安全漏洞嵌入、更新或者刪除任意的代碼。

    著名的安全漏洞清除機構法國安全事件反應小組分析了這個安全漏洞并且發(fā)布了自己的安全公告，把這個安全漏洞列為中等危險的漏洞。

    kornbrust說，在知道了這個安全漏洞之后，他用電子郵件向甲骨文通報了有關這篇泄漏安全漏洞的那篇文章。然后，甲骨文刪除了metalink網站上的那篇文章。他在red-database-security網站上批評甲骨文的這種做法。他說，這樣泄漏安全漏洞通常會傷害到其他人。

    他說，甲骨文通常批評個人或者企業(yè)發(fā)布有關甲骨文的安全漏洞信息。但是，這一次，甲骨文在metalink網站上不僅詳細介紹了這個安全漏洞而且還提供了利用這個安全漏洞的代碼。

    甲骨文發(fā)言人沒有立即對提供評論的要求給予答復。但是，kornbrust表示，甲骨文已經對他說將來發(fā)布的重要補丁將修復這個安全漏洞。甲骨文下一次發(fā)布重要補丁更新的發(fā)布時間是在4月18日星期二。kornbrust對甲骨文能夠在那個時候修復這個安全漏洞表示懷疑。

    在這個安全漏洞被修復之前，kornbrust建議可以采取如下繞過漏洞的措施：

    采取措施保證連接角色（connect role）的安全并且從中刪除“create view”（創(chuàng)建視圖）和“create database link”（創(chuàng)建數據庫鏈接）的權限。從數據庫表中刪除主要鍵值也是一種選擇，不過，這樣會引起這個數據庫應用程序的性能和完整性問題。