Testprobleme verzögern die Auslieferung der von Oracle für den Monat April versprochenen Security-Patches. Nur ein Teil von ihnen wurde am 18. April frei gegeben. Der Rest sollte eigentlich bis zum Ende des Vormonats verfügbar sein, nun gibt aber Oracle bekant, dass es noch bis Mitte Mai 2006 dauern könnte.
Üblicherweise veröffentlicht Oracle etwa 150 Software-Flicken für all seine Anwendungen alle drei Monate. Im April 2006 gab es aber einige Kompatibilitätsprobleme mit den bestehenden Oracle-Anwendungen, weiß Darius Wiles, Manager der Oracle-Sicherheitsalarme zu berichten: "Einige Update fiele in unseren Tests durch, wir brauchen mehr Zeit."
Besondere Aufmerksamkeit legt Oracle auf Tests der Updates für die eigene Datenbank, Versionen 8.1.7.4 and 10.1.0.4. Noch ist aber nicht sicher gestellt, dass diese Updates einwandfrei funktionieren. Genaueres dazu finden User in ihren elektronischen Handbüchern, so Oracle.
Sicherheitsspezialist und Oracle-Kritiker David Litchfield, Che der englischen Next Generation Security Software Ltd.. glaubt, dass die lange Wartezeit auf Updates nicht mit dem Wartungsvertrag vereinbar ist, dem zu Folge der Kunde in regelmäßigen Abständen mit den neuesten Software-Versionen versorgt werden muss. Auch die Qualität der Updates lasse zu wünschen übrig, sagt Litchfield.
"Regelmäßige Zyklen für Patches liefern dem Systemadministrator Planungssicherheit", meint der Sicherheitsspezialist. "Aber was für einen Nutzen habe ich von einem Patch, den acht neun mal installieren muss?"
Litchfield schätzt, dass zwei Drittel der von Oracle unterstützten Produkte sich nun nicht mehr auf dem neuesten Stand der Sicherheit befinden. Viele Anwender bleiben weiterhin angreifbar. Für Oracle-Manager Wiles ist alles nicht so schlimm, wie es scheint. Weil Updates für Anwendungen wie den Applikationsserver mit dem Erneuerungszyklus für Datenbanken simultan laufen, gibt es manchmal Verzögerungen. "Sobald wir mit der Datenbank klar kommen, werden auch die übrigen Anwendungen abgesichert".
Obwohl einige Sicherheitsspezialisten wie Litchfield diese Verzögerungen bemängeln, sind die meisten Anwender froh darüber, dass Oracle seine Patches gründlich testet. ""Ich stimme da Oracle zu", bekennt David Kennedy, Analyst bei Cybertrust. "Dennoch: Sie sollten ihre Patches rechtzeitig herausbringen." (rw)