美國東部時間4月11日（北京時間4月12日）消息：甲骨文公司似乎在無意中泄露出了一些關于其數據庫軟件中的某個未修復的安全漏洞的詳細資料，其中還包括一個可以用來利用該漏洞發起攻擊的代碼樣品。有關該漏洞的詳細資料在上個星期四被公布在甲骨文公司Metalink客戶支持門戶網頁上。 
      德國Neunkirchen市的Red Database Security公司的安全研究員Alexander Kornbrust在星期一早上給電子郵件中的所有聯系人都發了一封電子郵件詢問事態的發展，因此整個安全界都知道了這件事。Kornbrust說，甲骨文公司在星期五的時候在被告知那個Metalink注解與安全隱患有關之后，它就將相關資料從網上撤了下來。
      甲骨文公司在星期一的時候說，它計劃解決這個問題。 甲骨文公司女發言人在星期一說：“甲骨文公司現在已經獲悉那些完全公開的資料與甲骨文Database 9i和Database 10g中的某個安全漏洞有關，我們計劃在近的季度重要補丁更新的時候向客戶們提供一個補丁文件以修復這個漏洞。”
      甲骨文公司下一次安全更新的日期是4月18日。
      要想利用這個漏洞發起攻擊，攻擊者首先必須擁有甲骨文數據庫的帳戶，因此這個問題不大可能被攻擊者通過網絡利用。但是，通常只能讀取而不能修改數據庫資料的數據庫用戶可以建立一個特殊的查詢來獲得修改數據庫資料的權力。
      從9.2.0.0版到10.2.0.3版甲骨文公司數據庫軟件，不管運行在哪種操作系統上，都存在這個漏洞。
      Kornbrust認為甲骨文公司在四月份的安全更新中不一定能夠修復這個漏洞，因此他已經發表了一些針對這個問題的應對措施。這些應對措施的網址是：http:∥www.red-database-security.com/advisory/oracle_modify_data_via_views.html。
      他說他已經決定將有關這個問題的所有資料公諸于眾，因為已經有很多人看過了甲骨文公司的Metalink注解，給其他甲骨文用戶帶來了一定的威脅。
      比較諷刺的是，這個未修復漏洞的攻擊代碼的初始來源正是甲骨文公司自己。Kornbrust說：“這次甲骨文公司不能再責備安全研究員們了。”
      甲骨文公司沒有解釋它是如何會不小心地泄露這些敏感信息的，但是Kornbrust猜測它是由于它們的支持組織的錯誤造成的。他說：“我認為這也許是甲骨文公司支持組織中的某個人發現了這個漏洞但是他并不知道這個漏洞與安全有關。 我想這個可憐的家伙原本是為了幫助其他人才把這些資料公布出來的。”（王飛）