Oracles Patch-Politik sorgt für Unmut

EnterpriseSicherheit

Oracles hartnäckige Weigerung, Details zu herausgegebenen Patches zu verraten, sorgt unter Anwendern und Analysten für zunehmende Kritik.

Oracles hartnäckige Weigerung, Details zu herausgegebenen Patches zu verraten, sorgt unter Anwendern und Analysten für zunehmende Kritik. Diese Vorgehensweise erhöhe das Risiko der Nutzer, schreiben jetzt die beiden Gartner-Analysten Neil MacDonald und Rich Mogull in einer gemeinsamen Mitteilung auf der Gartner-Webseite. Ähnlich äußerten sich auch mehrere DOAG-Mitglieder (Deutsche Oracle Anwendergruppe) auf der Oracle-Anwenderkonferenz in Mannheim.
Obwohl es zu Oracles Firmenpolitik gehöre, dicht zu halten, tadelten die Analysten das Unternehmen dafür, dass es nicht darüber informiere, welche Konsequenzen es haben könne, veröffentlichte Patches nicht zu installieren. Wichtiger als das sei jedoch die Information, ob auch ältere Versionen von Oracles Database Server, Application Server und Enterprise Manager, für die der Konzern keinen Support mehr bietet, von den Löchern betroffen seien.

“Im schlimmsten Fall bedeutet das, dass die Aufzeichnung in jeder Oracle-Datenbank, die man besitzt, verwundbar sein kann”, heißt es in der Mitteilung der Analysten. “System-Administratoren haben nicht genügend Informationen, um zu entscheiden, welche Server sie vorziehen müssen und welche Daten am gefährdetsten sind.”

Tatsächlich führt unter anderem die mangelnde Informationspolitik in vielen Fällen oft dazu, dass das Aufspielen von Patches hinausgezögert wird, sagte DOAG-Vorstand Jörg Hildebrandt im Gespräch mit silicon.de. Der neu eingeführte Patch-Day dränge die Administratoren zudem zu einem schnellen Update-Rhythmus, mit dem viel Arbeit verbunden sei. Oftmals werde es deshalb für unnötig angesehen, jeden Patch einzuspielen, gerade in Anbetracht dessen, dass es äußerst schwierig sei, in komplexe Oracle-Systeme einzudringen.

Die Gartner-Analysten MacDonald und Mogull drängen die Oracle-Anwender deshalb, mehr Druck auf den Datenbank-Spezialisten auszuüben. “Fordert Oracle dazu auf, dem Beispiel von Microsoft und anderen Marktführen zu folgen und Details über ihre Sicherheitslöcher zu veröffentlichen.”