【51CTO 5月8日外電頭條】一般來說，只要某家軟件公司針對(duì)自己的產(chǎn)品發(fā)布補(bǔ)丁，咱們都應(yīng)該第一時(shí)間積極部署，因?yàn)樗鼈儗?duì)于修復(fù)漏洞而言意義重大。不過有時(shí)候補(bǔ)丁并不是真正的補(bǔ)丁，只不過是更改了配置而已。

就拿甲骨文公司在上周早些時(shí)候所發(fā)布的補(bǔ)丁為例。根據(jù)Qualys安全產(chǎn)品公司的意見，這款補(bǔ)丁專為編號(hào)CVE-201-1675的問題所發(fā)布，并解決了名為“TNS Poison”的零日漏洞——該漏洞允許攻擊者通過在TNS監(jiān)聽器中注冊(cè)額外的數(shù)據(jù)庫(kù)實(shí)例來開展中間人攻擊。正如Wolfgang Kandek在他的博文中所說：

該漏洞存在于甲骨文數(shù)據(jù)庫(kù)服務(wù)器的TNS監(jiān)聽器之中，允許攻擊者通過在TNS監(jiān)聽器中注冊(cè)額外的數(shù)據(jù)庫(kù)實(shí)例來開展中間人攻擊。監(jiān)聽器將為這一新實(shí)例啟動(dòng)流量負(fù)載平衡功能，攻擊者則會(huì)借此獲取并記錄數(shù)據(jù)庫(kù)信息、最終轉(zhuǎn)發(fā)給原始數(shù)據(jù)庫(kù)。總之，通過這種方式，攻擊者有機(jī)會(huì)對(duì)原始數(shù)據(jù)庫(kù)服務(wù)器中的信息以及執(zhí)行命令加以篡改。

問題在于，甲骨文對(duì)于這個(gè)漏洞采取的行為只是發(fā)布了一個(gè)配置更改，而沒有開發(fā)一個(gè)真正意義上的補(bǔ)丁。Dark Reading網(wǎng)站的Ericka Chickowski指出，這只是甲骨文公司一系列客戶服務(wù)事故中的例子之一，目前其數(shù)據(jù)庫(kù)應(yīng)用程序幾乎已經(jīng)成為漏洞和缺陷的代名詞。而在對(duì)Josh Shaul的采訪中，這位來自Application Security公司TeammSHATTER團(tuán)隊(duì)的安全專家表達(dá)了以下觀點(diǎn)：

我們都在日常生活中不知不覺對(duì)這些系統(tǒng)產(chǎn)生了依賴性，從銀行取款機(jī)到辦公樓里的停車收費(fèi)站，它們幾乎可以說是無處不在。然而事實(shí)上這些系統(tǒng)都存在著諸多漏洞，而且某些在這數(shù)年之間從來沒有得到修復(fù)，這的確令人感到不安——但從現(xiàn)在開始嘗試積極解決問題還為時(shí)不晚。如果大家負(fù)責(zé)的正好是數(shù)據(jù)庫(kù)安全或者其它一些包含大量敏感數(shù)據(jù)的系統(tǒng)，請(qǐng)務(wù)必提高警惕，因?yàn)楣粽咄耆梢酝ㄟ^這些遲遲未被曝光的舊漏洞對(duì)我們的信息實(shí)施新打擊。

為什么甲骨文公司在為自己的數(shù)據(jù)庫(kù)以及其它應(yīng)用軟件提供及時(shí)有效的補(bǔ)丁方面表現(xiàn)如此糟糕，令無數(shù)安全專家感到失望？Shaul認(rèn)為，客戶應(yīng)該盡量嘗試將自己的聲音傳達(dá)給軟件開發(fā)商，這種對(duì)完美服務(wù)的需求會(huì)對(duì)開發(fā)商修復(fù)產(chǎn)品的積極性帶來極大的推動(dòng)作用：

那些花費(fèi)數(shù)百萬美元購(gòu)置數(shù)據(jù)庫(kù)軟件的企業(yè)無疑擁有強(qiáng)大的話語權(quán)，無論是安全風(fēng)險(xiǎn)透明度還是安全缺陷評(píng)估報(bào)告，只要這類客戶想要，甲骨文公司就得想盡辦法滿足。不過在此之前，甲骨文這類軟件供應(yīng)商只會(huì)按時(shí)提供例行修復(fù)，而哪些問題迫在眉睫、哪些風(fēng)險(xiǎn)危害更大則全由他們自己說了算。

這種例行修復(fù)無法滿足需求？現(xiàn)在是時(shí)候給這幫企業(yè)沙文主義者一點(diǎn)顏色瞧瞧了。針對(duì)甲骨文公司的不作為，TeamSHATTER是這樣評(píng)估的：

1. 這不是一個(gè)補(bǔ)丁，只是一個(gè)一步一步教你如何通過配置的方式繞過漏洞的系統(tǒng)教程而已。
2. 甲骨文公司必須立即對(duì)原有授權(quán)模式進(jìn)行革新。用戶原本就應(yīng)該得到執(zhí)行這個(gè)配置更改的權(quán)限，而不是購(gòu)買了“高級(jí)安全”功能才行。
3. 就以我們?cè)谖恼麻_頭所談到的漏洞為例，這個(gè)問題甲骨文公司已經(jīng)發(fā)現(xiàn)了整整四年了，但仍然沒有著手解決的意思……很明顯，只要沒有人抗議，他們就打算一直拖延下去。這種習(xí)慣太可怕了，誰知道還有多少未被發(fā)現(xiàn)的漏洞困擾著用戶？也許沒有想象中那么多，但也絕不會(huì)太少。
4. 甲骨文公司正在繼續(xù)努力淡化CVSS（通用弱點(diǎn)評(píng)價(jià)體系）對(duì)自身的評(píng)估，并宣稱這一關(guān)鍵性漏洞的嚴(yán)重性評(píng)分為7.5。那么來自外部的聲音呢？所有與甲骨文無關(guān)的安全研究人員不約而同地為其打出了CVSS中的最高評(píng)分：10.0分。

原文：A Patch Is Not Always a Patch