Am 18. April hatte Oracle im Rahmen seines "Critical Patch Update" bereits Korrekturen für einige seiner populärsten Produkte veröffentlicht (siehe "Oracle flickt kritische Sicherheitslücken und bringt Tool für Passwort-Check"). Für viele andere Versionen wollte der Hersteller diese allerdings erst am 1. Mai nachreichen. Nun hat er den Veröffentlichungstermin nochmals auf bis zum 15. Mai verschoben.

Einige der Patches hätten noch nicht die umfängliche Suite von Tests betanden, mit denen Oracle sicherstellen wolle, dass die Korrekturen den Betrieb der Kundenanwendungen nicht störten, erklärte Darius Wiles, zuständig für Oracle Security Alerts. "Es gab ein paar Updates, die bei den Tests durchgefallen sind, also brauchen wir für die Prüfung mehr Zeit", so der Oracle-Mann.

Kunden, die sich genauer über die voraussichtlichen Erscheinungstermine der Patches informieren möchten, finden Informationen im Dokument 360464.1 des Online-Support-Dienstes "MetaLink".

Der britische Sicherheitsexperte David Litchfield sagte, mit derlei Verzögerungen unterminiere Oracle den Wert seines regelmäßigen Patch-Zyklus. "Dabei geht es doch nur darum, dass Anwender vorausplanen und in einem Rutsch installieren können", so Litchfield, Managing Director bei Next Generation Security Software. "Aber wenn Sie neun Mal installieren müssen, was haben Sie dann davon?" Der Experte schätzt, dass zwei Drittel der von Oracle supporteten Produkte jetzt ungepatcht sind und damit viele Nutzer angreifbar machen.

Wiles erwiderte, das Problem erscheine größer als es in Wirklichkeit sei. Sobald die Tests mit wichtigen Datenbank-Releases wie 8.1.7.4 und 10.1.0.4 abgeschlossen seien, erledigten sich allerlei davon abhängige - etwa mit dem hauseigenen Application Server - sehr rasch. (tc)