Vierteljährlich gibt Oracle seine "Critical Patch Updates" (CPUs) heraus, nun wurde ein mächtiges Sammel-Update angekündigt. Damit sollen Fehler in der Datenbank-, Applikations-Server-Software sowie den Collaboration- und E-Business-Suiten des Anbieters beseitigt werden. Enthalten sind auch Fixes für Peoplesoft- und J.D.-Edwards-Produkte. Insgesamt adressiert Oracle mit dem Patch-Paket etwa 100 Probleme. Nach Angaben von Alexander Kornbrust von Red Database Security GmbH sind allein 82 davon sicherheitsrelevant. Andere sind laut Oracle notwendig, weil sie mit anderen Security-Patches zuammenhängen.
Die Updates sind kumulativ, so dass Anwender mit dem Update auch Fixes für frühere Fehler erhalten. Außerdem enthält die Sammlung ein Utility zur Überprüfung von voreingestellten Konten und Passwörtern, das Anwendern helfen soll, vordefinierte Datenbankkonten zu sichern. Kornbrust kritisiert auf der Red-Database-Website, dass dieses Tool lediglich aus einem SQL- Select-Statement besteht, dass das Vorhandensein bestimmter Passwort-Hashes kontrolliert. Eine Alternative hierzu stellt das von Red Database Security entwickelte Utility dar, das kostenlos von der Site des Anbieters heruntergeladen werden kann.
Patches meist fehlerhaft
Auch andere Experten sehen Oracles Vorgehensweise mit gemischten Gefühlen. So erkennt David Litchfield, Managing Director der britischen Firma Next Generation Security Software, zwar "große Verbesserungen in Oracles Prozessen zur Reaktion auf Sicherheitsprobleme". Bislang sei jedoch jedes kritische Update fehlerhaft gewesen und habe mehrmals überarbeitet werden müssen. Anwender, die das Patch-Paket sofort installieren, müssten damit rechnen, diesen Prozess bis zum Erscheinen des nächsten größeren Updates zu wiederholen.
Aber auch Anwender kritisieren Oracles Patch-Praxis. Der Quartalszyklus für die Heraus- gabe von Patches wird von ihnen als ziemlich lang empfunden. Außerdem fühlen sich Kunden von dem Hersteller nicht aus- reichend informiert. Nach Ansicht von Shlomo Kramer, CEO der Sicherheitsfirma Imperva, sind Oracles Angaben zu den von dem aktuellen Update adressierten Schwachstellen eher dürftig. (ave)