Oracle geizt mit Informationen

Es gebe viele Arten, eine Datenbank zu installieren. Je nachdem, welches Feature vorhanden ist, sind bestimmte Bugs kritisch oder eben nicht. Das Januar-Update enthielt einen Patch für einen kritischen Fehler, der alle Versionen der Datenbank betrifft. In der Menge der Fixes - das letzte CPU beseitigte über 82 Fehler - sei dieses Problem allerdings "völlig untergegangen". Unterm Strich hält es der Berater selbst für die mit der Materie vertrauten Anwender für "relativ schwer", aus der von Oracle bereitgestellten Matrix schlau zu werden.

Da Anwender laut Kornbrust ein CPU jeweils komplett einspielen müssen, bleibt ihnen nur, sämtliche Punkte in einem Sicherheitshinweis durchzugehen. Auf diese Weise herauszufinden, ob ein Update nun für das Unternehmen relevant ist, sei nicht einfach.

Kein Einsehen

Der Datenbankriese sieht das anders. Von der deutschen Dependance wollte sich zwar niemand zu der Thematik äußern, Fragen zu derart "strategischen Themen" könne man "nicht lokal beantworten". Duncan Harris, Senior Director für Security Assurance bei Oracle, erklärte jedoch unlängst im Interview die momentane Praxis: "Wir haben unseren Kunden genau zugehört und daraufhin ein System entwickelt, bei dem wir gesondert für jeden Produktbereich in einer Risiko-Matrix die Art jeder Schwachstelle identifizieren, die durch einen Quartals-Patch beseitigt wird." Da die Hinweise schließlich für die Kunden und nicht für die Security-Community gedacht seien, sieht sich das Unternehmen im grünen Bereich: "Wir glauben, dass diese Information für unsere Kunden ausreichend ist."

Dem widerspricht Gartner-Mann Mogull: Er moniert, dass Oracle "nur sehr begrenzte Informationen über Schwachstellen" preisgibt. Das erschwere es Anwendern, das Risiko für ihr Unternehmen einzuschätzen. Außerdem rügt der Analyst, dass "der Hersteller manchmal intern entdeckte Sicherheitslücken patcht, ohne irgendwelche Angaben dazu zu machen".