In einem Ende Januar veröffentlichten Papier gehen auch die Analysten von Gartner hart mit dem Datenbankriesen ins Gericht: Das letzte Critical Patch Update (CPU) vom 17. Januar gebe wegen der Bandbreite und Ernsthaftigkeit der damit adressierten Schwachstellen "Anlass zu großer Sorge". Zwar befürworten die Auguren grundsätzlich den Ende 2004 verkündeten, vierteljährlichen Update-Rhythmus des Datenbankspezialisten. Dieser Fahrplan ermögliche es Anwendern, die Wartung ihrer Oracle-Produkte besser zu planen.
Für Rich Mogull, Research Vice President bei Gartner, steht aber fest: "Oracle kann nicht länger als eine Sicherheitsbastion angesehen werden." Da die Produkte des Herstellers in immer kürzeren Abständen kritische Schwachstellen aufwiesen und Exploit-Code immer regelmäßiger im Internet erscheine, müssten Datenbank- und Applikations-Administratoren damit anfangen, ihre Systeme aggressiver zu schützen und zu warten.
Das ist jedoch leichter gesagt als getan. Schon jetzt können Anwender kaum noch mit den Updates Schritt halten. Aus Sicht von Jörg Hildebrandt, Vorstand der Deutschen Oracle User Group (Doag), ist es "so gut wie unmöglich", immer auf dem aktuellen Stand zu sein, da ständig neue Patches erscheinen: "Wenn man sich überlegt, dass ein größeres Update etwa zwei Stunden zur Installation braucht, lässt sich leicht ausrechnen, wie lange Unternehmen, die hundert oder mehr Datenbanken besitzen, allein mit diesem Vorgang beschäftigt sind." Ungleich komplizierter gestaltet sich die Situation für große Unternehmen, in denen im Schnitt zwischen 500 und 2000 Oracle-Datenbanken im Einsatz sind, wie Red-Database-Security-Chef Kornbrust erzählt. In solchen Umgebungen sind regelmäßige Patches kaum noch umzusetzen, da die Fixes auch noch getestet werden sollten, bevor man sie ausrollt.
Verkompliziert wird dies dadurch, dass Anwender nur schwer erkennen können, welche Patches für ihre Installation relevant sind. Oracle liefert mit seinen CPUs zwar gewisse Erklärungen und ordnet die Sicherheitslecks in eine Matrix ein. Doch damit stiftet der Hersteller mehr Verwirrung, als dass er den Anwendern hilft, bestätigt Kornbrust. Er hält die von Oracle bereitgestellte Dokumentation der Schwachstellen für "viel zu spärlich".
