甲骨文在本周二(1/14)进行每季的例行性安全更新Critical Patch Update(CPU),总计修补了334个安全漏洞,平了去年7月的最高记录。
在这334个安全漏洞中,有多达192个漏洞不需用户凭证就能进行开采,并有40个被列为“重大”(critical)等级。
尽管甲骨文的漏洞修补数量众多,但主要是因为该公司旗下有众多的产品,且一季才修补一次,IT管理人员只需要修补企业所采用的相关平台。
此次甲骨文针对旗舰产品Database Server修补了12个安全漏洞,虽然其中有3个不需凭证就能被开采,但并无任何漏洞属于重大等级。
若从修补数量来看,修补最多的是Oracle Enterprise Manager的50个漏洞,居次的是Oracle Fusion Middleware的38个漏洞,Oracle Communications Applications也有25个漏洞,Oracle E-Business Suite则含有23个漏洞,Oracle MySQL也有19个漏洞。
Threatpost引述趋势科技Zero-Day Initiative经理Dustin Childs的看法指出,他建议IT管理人员可优先修补那些不需凭证也不必用户交互就能开采的安全漏洞。
甲骨文则说,只有部署安全更新才能杜绝漏洞被开采,在此之前也许可以封锁可能会被黑客利用的网络协议,或是移除部分不必要用户的权限来作为暂时解决方案,但这两种做法都可能破坏应用程序的功能,应先在非生产系统上进行测试,不论如何,尽快地部署更新才是上策。