Oracle hat ein Sicherheitsproblem

06.03.2006
Von Martin Seiler

Anwender sind Leidtragende

Trotz dieses Missstandes zeigt Doag-Mann Hildebrandt Verständnis für den Anbieter: "Oracle muss natürlich eine Gratwanderung vollziehen: Wenn zu viele Informationen zu den Patches bereitgestellt werden, dann besteht die Gefahr, dass jemand eine Schwachstelle gezielt ausnutzt". Leider habe das im Umkehrschluss zur Folge, dass Anwender nicht alle Informationen erhalten, die sie brauchen würden um entscheiden zu können, ob sie ein Patch betrifft oder nicht.

Die Folge: Viele Unternehmen verzichten darauf, die Patches einzuspielen. Für diese Verweigerung gibt es aber noch weitere Gründe: Hildebrandt moniert, dass Anwender derzeit zwei unterschiedliche Tools einsetzen müssen, um Updates zu installieren. Aus Sicht des Fachmanns wäre es wünschenswert, wenn Oracle anstelle von "Oracle Universal Installer" (OUI) und "Opatch" ein einheitliches Tool für Installationen und Patches benutzen würde. OUI ist für das Installieren der Software und der Haupt-Patches gedacht, während Bugfixes mit Opatch einzuspielen sind. Verkompliziert wird dies dadurch, dass Oracle Opatch ständig verändert, Anwender also immer darauf achten müssen, welche Version für das Einspielen eines Patches gerade benötigt wird.

Ein weiteres Hindernis liegt in der Qualität der von Oracle entwickelten Patches, die mitunter sehr zu wünschen übrig lässt. Eigentlich sollten die Patches kumulativ sein, so dass Unternehmen auch schon mal ein Update auslassen können. Leider schleichen sich in die Updates aber immer wieder Fehler ein, so dass sich Anwender nicht hundertprozentig darauf verlassen können, ob ein Patch funktioniert und tatsächlich alle Schwachstellen wie erwartet beseitigt. Auch Gartner kritisiert, dass Updates immer wieder Probleme bei der Installation verursachen und die Stabilität von Systemen gefährden.

Ein Patch für einen Patch

Ein Paradebeispiel für die mangelnde Patch-Qualität war das CPU im Juli vergangenen Jahres, das mehrfach überarbeitet werden musste. Hin und wieder waren ganz banale Dinge hierfür ausschlaggebend, wie Kunden im Online-Support-Angebot "Meta Link" von Oracle leicht nachlesen können: Mal fehlte eine bestimmte Datei, dann ließ sich ausgerechnet eine "Readme"-Datei nicht lesen.