Az Oracle negyedévente adja ki a különböző szoftvereihez tartozó biztonsági hibajavításokat. Egy-egy ilyen frissítés alkalmával akár több tucat patch is elérhetővé válhat, amelyek közül az adatbázisszerverekhez készülő javítások különös jelentőséggel kellene, hogy bírjanak. Azonban egy felmérés szerint a valóságban a helyzet nagyon aggasztó.
A felmérést több mint 150 cég illetékes szakemberének megkérdezésével végezték el. Kiderült, hogy a válaszadóknak mindössze a 26 százaléka telepíti a hibajavításokat az összes Oracle adatbázisához. Hat százalékuk pedig csak a kritikus fontosságú adatbázisszerverek esetében alkalmazza az Oracle által kiadott patch-eket. A szervezetek 30 százalékának semmiféle szabályzata nincs az Oracle-alapú rendszerek frissítésével kapcsolatban, míg a 32 százalékuk olyan előírásokat dolgozott ki, amelyek az adatbázis adminisztrátorok által elvégzett, kockázat- és költségelemzésre épülő hibajavítást követelnek meg.
További problémát jelent, hogy azoknál a cégeknél, ahol egyáltalán foglalkoznak az Oracle hibajavítások telepítésével, sok esetben csak nagyon későn kerül sor a frissítésre. A felmérés szerint nem ritka, hogy a patch-ek megjelenését követően hónapokkal vagy akár több mint egy évvel később kerülnek fel a rendszerekre a biztonsági réseket befoltozó javítások. Vagyis akár hónapokig működhetnek kiszolgáltatottan azok az adatbázisok, amelyek értékes és bizalmas adatok millióit tárolhatják.
Az Oracle 2005-ben kezdte el a frissítéseinek tervezethető módon történő, negyedévenkénti kiadását. Ezzel a cég célja az volt, hogy kiszámíthatóbbá tegye a javításokat. Azonban ennek ellenére az adatbázisok frissítése nem igen lett egyszerűbb. Amichai Shulman, az Imperva műszaki igazgatója szerint az adatbázis adminisztrátoroknak sok esetben több mint három hónapra van szükségük ahhoz, hogy meggyőződjenek egy patch megfelelő működéséről. Ezt követően pedig be kell ütemezniük az éles környezetbe való telepítést, amely esetenként akár kritikus fontosságú alkalmazások átmeneti leállítását is szükségessé teheti. Amichai Shulman a vállalatok számára kockázatfelmérés készítését javasolta annak érdekében, hogy mindig eldönthető legyen, mely adatbázisok frissítésére kerüljön először sor.
Shulman ugyanakkor azt is hangsúlyozta, hogy e faladat elvégzéséhez arra is szükség van, hogy a rendszerek üzemetetői tisztában legyenek azzal, hogy egy-egy frissítés milyen sebezhetőséget orvosol. A szakember úgy látja, hogy az Oracle az elmúlt időszakban már egyre használhatóbb információkkal szolgált ezen a területen, de az egyes patchek dokumentációja még mindig nem nyújt olyan szintű információkat, melyekre szükség lenne a megalapozott döntések meghozatalához.
Eric Maurice, az Oracle egyik igazgató a cég blogjában azt írta, hogy keresik azokat a megoldásokat, amelyek a dokumentációk hatékonyabbá tételét szolgálják, és könnyebbé, gyorsabbá teszik a frissítések tesztelését. Majd hozzátette, hogy az Oracle-nek és az IOUG-nek (Oracle Users Group) közösen kellene kidolgozniuk egy olyan biztonsági szabályt, amely széles körben alkalmazható a frissítésekhez.
A hír a Computerworld.hu biztonság rovatában jelent meg.
