前面的文章我们已经分析过，现阶段数据库的安全威胁主要来自于人为因素、第三方恶意插件、数据库本身系统漏洞三个方面。在这三个威胁中，数据库本身系统的漏洞依旧是数据库安全最严重的威胁，这不单是因为数据库本身的漏洞对于数据库的安全破坏性强，其中还有一个重要原因就是随着数据库使用范围的不断扩大，功能应用的深入，系统中的漏洞也会不断被暴露。

Oracle最近发布了今年的第一批安全补丁，这一批补丁共计修复了270个漏洞，在数据库方面，在广泛使用的MySQL数据库服务器中修补了27个漏洞，在Oracle数据库服务器和相关组件中修补了5个漏洞。Java中已经修复了17个漏洞。但这还不是Oracle迄今为止最大的重要补丁更新，早在2016年7月发布了276个安全补丁。Oracle的补丁计划一般按季度发布，据来自网络安全公司ERPS的分析师指出，超过200个补丁的Oracle已经成为常态。

在刚刚发布的安全补丁中，其中许多漏洞都可以被远程利用，而且无需身份验证。大多数修复是针对Oracle电子商务套件，Oracle融合中间件，Oracle PeopleSoft，Oracle零售应用，Oracle JD Edwards，Oracle供应链产品和Oracle数据库服务器等业务产品中的缺陷。占40％的补丁漏洞,其中118个可远程利用，最高评级的在常见漏洞评分系统中得分为9.2（至关重要）。另外37个漏洞在Oracle Financial Services中修补，18个在Oracle融合中间件中修补，8个在Oracle零售应用中修补，8个在Oracle PeopleSoft和4个在Oracle Primavera产品套件中修补。这些产品用于各种行业。

最关键的漏洞，CVSS评分为10，在Primavera P6企业项目组合管理中进行了修补。可以通过HTTP利用漏洞，并可能导致未经授权的关键数据的创建，删除或修改。

Oracle WebLogic Server，PeopleSoft Enterprise PeopleTools，JD Edwards EnterpriseOne工具和企业管理器基础平台中的CVSS分数为9.8，漏洞是固定的。如果不进行修补，这些可能导致受影响系统完全损害。

从以上两点我们不难看出，不论是从数量，还是漏洞的危害和被利用程度上，数据库本身的系统漏洞对于数据库安全都存在相当严重的危害性。数据库往往存贮企业或者团体的关键数据，一旦被一些攻击者破坏，将给企业带来难以估量的损失。安华金和数据库安全专家建议数据库用户要及时更新数据库补丁，如果因为种种原因不能及时更新数据库补丁，建议使用带有虚拟补丁的数据库防火墙对数据库进行保护。