Verwirrung um Oracle-Patches

Nachdem Oracle bereits beim vorletzten der vierteljährlichen Critical Patch Update (CPU) im April nicht alle avisierten Lücken geschlossen hatte, gibt es auch bei den 47 diese Woche veröffentlichten Patches einige Ungereimtheiten.

Es beginnt damit, dass Oracle alle registrierten Nutzer, die die Patches heruntergeladen hatten, per E-Mail aufforderte, diese erneut zu installieren, weil einige davon offenbar am 13. und 14. Juli überarbeitet wurden. Des Weiteren meldet Red-Database-Security, dass die Patches auch einige Fehler beseitigen, die nicht dokumentiert wurden. Und schließlich zitiert Pete Finnigan in seinem Weblog aus einer E-Mail-Konversation den anerkannten Datenbanksicherheitspezialisten Cesar Cerrudo:

Oracle hat es wieder getan! Das Juli-CPU beseitigt einen der Fehler in 9iR2 nicht ..., die Risiko-Matrix ist falsch, da sie als erstes betroffenes Release 10g angibt, 9iR2 aber ebenfalls betroffen ist. ... Also hat Oracle die Anwender von 9iR2 ungeschützt gelassen.

Cerrudo geht sogar so weit, von der Installation der Patches abzuraten, bevor man sie sorgfältigen Tests unterzogen habe: Die Fehler der letzten Monate zeigten, dass Oracle keine ausreichende Qualitätssicherung betreibe. Hier widerspricht jedoch Finnigan, ebenfalls Oracle-Experte und Autor des Buchs "Oracle Security Step By Step -- A survival guide for Oracle security": "Ich sehe Cesars Argument, aber die Patches möglichst früh einzuspielen, ist das kleinere Risiko." (ju)