Es gebe viele Arten, eine Datenbank zu installieren. Je nachdem, welches Feature vorhanden ist, sind bestimmte Bugs kritisch oder eben nicht. Das Januar-Update enthielt einen Patch für einen kritischen Fehler, der alle Versionen der Datenbank betrifft. In der Menge der Fixes - das letzte CPU beseitigte über 82 Fehler - sei dieses Problem allerdings "völlig untergegangen". Unterm Strich hält es der Berater selbst für die mit der Materie vertrauten Anwender für "relativ schwer", aus der von Oracle bereitgestellten Matrix schlau zu werden.
Da Anwender laut Kornbrust ein CPU jeweils komplett einspielen müssen, bleibt ihnen nur, sämtliche Punkte in einem Sicherheitshinweis durchzugehen. Auf diese Weise herauszufinden, ob ein Update nun für das Unternehmen relevant ist, sei nicht einfach.
Der Datenbankriese sieht das anders. Von der deutschen Dependance wollte sich zwar niemand zu der Thematik äußern, Fragen zu derart "strategischen Themen" könne man "nicht lokal beantworten". Duncan Harris, Senior Director für Security Assurance bei Oracle, erklärte jedoch unlängst im Interview die momentane Praxis: "Wir haben unseren Kunden genau zugehört und daraufhin ein System entwickelt, bei dem wir gesondert für jeden Produktbereich in einer Risiko-Matrix die Art jeder Schwachstelle identifizieren, die durch einen Quartals-Patch beseitigt wird." Da die Hinweise schließlich für die Kunden und nicht für die Security-Community gedacht seien, sieht sich das Unternehmen im grünen Bereich: "Wir glauben, dass diese Information für unsere Kunden ausreichend ist."
Auf eine Schwierigkeit im Zusammenhang mit Oracle-Patches weist Jörg Hildebrandt, Vorstand der Deutschen Oracle User Group, hin. Ihm zufolge geben Dritthersteller hin und wieder Critical Patch Updates nicht frei, weil sie Probleme mit ihrer eigenen Software verursachen könnten. Besonders im Umfeld von ERP-Lösungen kann dies der Fall sein.
Wenn Applikationen Oracle-Funktionen intensiv nutzen, sollten Anwender genau darauf achten, ob diese nach Release-Wechseln oder dem Einspielen von Patches noch reibungslos laufen. "Leider ist das nicht immer der Fall", resümiert Hildebrandt, weswegen man in einem solchen Fall warten müsse, "bis Oracle den Fehler wieder ausbügelt".
Dem widerspricht Gartner-Mann Mogull: Er moniert, dass Oracle "nur sehr begrenzte Informationen über Schwachstellen" preisgibt. Das erschwere es Anwendern, das Risiko für ihr Unternehmen einzuschätzen. Außerdem rügt der Analyst, dass "der Hersteller manchmal intern entdeckte Sicherheitslücken patcht, ohne irgendwelche Angaben dazu zu machen".
