漏洞频发 Oracle的CPU疲于奔命
作者: 日期:2017年07月04日 阅:6,921

1、4、7、10月,距离17号最近的每个周二,Oracle都会发布产品安全补丁包。这些补丁包被称为“关键补丁更新” (CPU:Critical Patch Update),通常是累积的更新,处理与Oracle产品相关的安全漏洞。今年4月的更新,包含了跨Oracle平台299个漏洞的补丁,是其截至目前最大的CPU。

将于7月18日发布的下一波CPU,有很多内容尚需考虑。

作为数据库和云计算巨头,Oracle的软件被很多财富500强公司用在至关重要的操作运营中。全球大多任务关键环境和150亿台设备上,都运行有该基于Java的开源软件。

4月的CPU包含有Java产品核心组件安全更新,其中很多组件与大型金融公司、医疗提供商和运输公司的常用第三方软件相关。这些行业经常遭受恶意黑客的攻击,尽快应用最新的安全更新对它们来说至关重要——这是一项最先进的公司也需要几个月才能完成的任务。

作为全球大型软件供应商,Oracle软件产品众多,虽有专业安全资源和专门的测试及修复团队,在发现及响应深埋于其核心软件平台中的主要脆弱组件上,却难免疏于迟缓。

据统计,Oracle每100个小时就在其产品中发现一个新漏洞。最近发布的CPU中一些漏洞甚至可追溯到2012年。说句公道话,如今,每家软件开发商都在发布相当于 Oracle CPU 的更新。但Oracle的市场份额,确保了它的行业领先位置。

这是5年时间里未打补丁的开放漏洞。里面包含了30多个Java相关CVE,其中8个直接影响核心Java平台。近70%的Java相关CVE都是无需身份验证即可远程利用的。

在当前补丁包中处理经年漏洞,恰恰证明了我们正在逼近危机点,我们无法以及时有效的方式响应漏洞,仍然主要依靠跟不上漏洞发展速度和体量的传统方式。这不是一种可持续发展的模式。鉴于第三方软件的普遍性,认识到这一点,对太多公司具有很大意义。最近一份对1000多款商业Web应用的调查报告中,96%的App都包含有第三方代码,其中67%带有已知漏洞,52%还是高危漏洞。

开源组件不会自动或定期更新,很难跟上需要频繁打补丁的漏洞步伐。与主流开发商定期发布补丁的软件不同,保存在函数库和在中央代码库中的开源代码通常需要用户自行搜索或开发补丁。

幸运的是,存在久经检验的技术可以帮助缓解这大范围安全更新的问题。很多公司提供以全新方式监视应用的解决方案,还有采用服务器和云端安全虚拟容器进行防护措施。另有第三方选项可供使用,可在不改代码不影响运行速度的情况下起到补丁的作用——运行在软件更底层,监视网络流量包、文件系统调用和CPU指令,拦住各种攻击。

4月的CPU,显示出IT行业在保护现代模块化企业应用上面临的巨大挑战,这些应用都是由数十乃至上百个第三方库和模块构成的。在7月,我们需要考虑:如果Oracle这样的顶级厂商,都难以在 Oracle Fusion 这样的主流软件平台上保护其第三方库依赖,那我们怎么可以期待非高端IT厂商的“普通”企业能做得更好呢?

我们至今仍在处理数年前就已曝光的 Struts v1 和 Apache Commons 相关漏洞的事实,不仅令人震惊,也十分麻烦而棘手。Struts 2 补丁包反而不是那么令人惊讶,因为漏洞在2017年3月才公布,但麻烦却一点都不少,因为其指向与第三方软件组件相关的持续性问题。

平均每天有10个新的开源漏洞被报告。但找出这些漏洞的能力不是问题,修复才是大问题。Oracle的安全团队已经尽其所能,但就像所有网络安全团队一样,他们面对一波又一波被发现的漏洞也是疲于奔命。

过去20年里开发出来的每一个有效网络安全方法,都全数融入到了公司企业防护自身的方法当中。然而,软件漏洞的广泛性多发性,意味着我们依赖了20多年的安全方法,如今已提供不了继续前行所需的安全水平了。

尽职系统维护、持续更新,以及自动化和手动第三方安全解决方案,都是终端用户全方位防护所需的。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章