【51CTO 5月8日外電頭條】一般來說，只要某家軟件公司針對自己的產品發布補丁，咱們都應該第一時間積極部署，因為它們對于修復漏洞而言意義重大。不過有時候補丁并不是真正的補丁，只不過是更改了配置而已。

就拿甲骨文公司在上周早些時候所發布的補丁為例。根據Qualys安全產品公司的意見，這款補丁專為編號CVE-201-1675的問題所發布，并解決了名為“TNS Poison”的零日漏洞——該漏洞允許攻擊者通過在TNS監聽器中注冊額外的數據庫實例來開展中間人攻擊。正如Wolfgang Kandek在他的博文中所說：

該漏洞存在于甲骨文數據庫服務器的TNS監聽器之中，允許攻擊者通過在TNS監聽器中注冊額外的數據庫實例來開展中間人攻擊。監聽器將為這一新實例啟動流量負載平衡功能，攻擊者則會借此獲取并記錄數據庫信息、最終轉發給原始數據庫。總之，通過這種方式，攻擊者有機會對原始數據庫服務器中的信息以及執行命令加以篡改。

問題在于，甲骨文對于這個漏洞采取的行為只是發布了一個配置更改，而沒有開發一個真正意義上的補丁。Dark Reading網站的Ericka Chickowski指出，這只是甲骨文公司一系列客戶服務事故中的例子之一，目前其數據庫應用程序幾乎已經成為漏洞和缺陷的代名詞。而在對Josh Shaul的采訪中，這位來自Application Security公司TeammSHATTER團隊的安全專家表達了以下觀點：

我們都在日常生活中不知不覺對這些系統產生了依賴性，從銀行取款機到辦公樓里的停車收費站，它們幾乎可以說是無處不在。然而事實上這些系統都存在著諸多漏洞，而且某些在這數年之間從來沒有得到修復，這的確令人感到不安——但從現在開始嘗試積極解決問題還為時不晚。如果大家負責的正好是數據庫安全或者其它一些包含大量敏感數據的系統，請務必提高警惕，因為攻擊者完全可以通過這些遲遲未被曝光的舊漏洞對我們的信息實施新打擊。

為什么甲骨文公司在為自己的數據庫以及其它應用軟件提供及時有效的補丁方面表現如此糟糕，令無數安全專家感到失望？Shaul認為，客戶應該盡量嘗試將自己的聲音傳達給軟件開發商，這種對完美服務的需求會對開發商修復產品的積極性帶來極大的推動作用：

那些花費數百萬美元購置數據庫軟件的企業無疑擁有強大的話語權，無論是安全風險透明度還是安全缺陷評估報告，只要這類客戶想要，甲骨文公司就得想盡辦法滿足。不過在此之前，甲骨文這類軟件供應商只會按時提供例行修復，而哪些問題迫在眉睫、哪些風險危害更大則全由他們自己說了算。

這種例行修復無法滿足需求？現在是時候給這幫企業沙文主義者一點顏色瞧瞧了。針對甲骨文公司的不作為，TeamSHATTER是這樣評估的：

1. 這不是一個補丁，只是一個一步一步教你如何通過配置的方式繞過漏洞的系統教程而已。
2. 甲骨文公司必須立即對原有授權模式進行革新。用戶原本就應該得到執行這個配置更改的權限，而不是購買了“高級安全”功能才行。
3. 就以我們在文章開頭所談到的漏洞為例，這個問題甲骨文公司已經發現了整整四年了，但仍然沒有著手解決的意思……很明顯，只要沒有人抗議，他們就打算一直拖延下去。這種習慣太可怕了，誰知道還有多少未被發現的漏洞困擾著用戶？也許沒有想象中那么多，但也絕不會太少。
4. 甲骨文公司正在繼續努力淡化CVSS（通用弱點評價體系）對自身的評估，并宣稱這一關鍵性漏洞的嚴重性評分為7.5。那么來自外部的聲音呢？所有與甲骨文無關的安全研究人員不約而同地為其打出了CVSS中的最高評分：10.0分。

原文：A Patch Is Not Always a Patch