Kritikus frissítések cunamija az Oracle-től
Masszív frissítéssel készül holnapra az Oracle. A patchek többsége a cég adatbázis-kezelőjének különféle kiadásait érintik, de a cég számos más szoftveréhez is érkezik frissítés, köztük a egyes PeopleSoft, a BEA vagy a JD Edwards termékeihez is.
Az Oracle holnapra 38 darab kritikus biztonsági rés befoltozására készül, ami több tucat termékét érinti. Ebből 16 az Oracle Database RDBMS különféle verzióit érinti, méghozzá a Windowson futó kiadások esetében a legmagasabb kockázati besorolás mellett, amit a Common Vulnerability Scoring System (CVSS) alapján kapott 10 pont mutat. Az Oracle közlése alapján a 16 résből hatot ki lehet aknázni felhasználó nélkül is, egyszerű hálózati szintű hozzáféréssel, ami tipikusan puffertúlcsordulásos technikát jelöl. A foltozást kapott az 8i, 10g, 10g R2 és 11g is, ezen belül pedig számos komponensük.
A adatbázis-kezelőn kívül az Oracle többek közt foltozást végez el az Application Server, Business Intelligence, E-Bsuiness Suite, WebLogic, JRockit szoftvereken, valamint néhány PeopleSoft és JD Edwards eszközön is. Ezen biztonsági rések tipikusan közepes besorolásúak a CVSS alapján, kivétel ez alól a JRockit, mely szintén megkapta a legmagasabb kockázati minősítést. Érdekesség, hogy az Oracle a múlt héten lezajlott OpenWorld konferenciája miatt egy héttel elhalasztotta a patchek közzétételét, hogy a résztvevők számára ne okozzon kellemetlenséget. Az előzetes értesítő itt olvasható.
Felmérések szerint az Oracle-adminisztrátorok alacsony hajlandóságot mutatnak arra, hogy telepítsék a biztonsági patcheket. Az Oracle és az Indenpendent Oracle Users Group által közösen elvégzett kutatás alapján csak a válaszadók negyede tart teljesen lépést a frissítésekkel. Azoknak az aránya, akik végeznek a telepítésekkel még a következő frissítési ciklus előtt, egyharmad, míg negyedük egy ciklussal, újabb negyedük pedig 2-4 ciklussal vannak lemaradva, és tizedük egyáltalán nem telepít patcheket - az Oracle negyedévente ad ki frissítéseket.
Az Oracle-adminok közül a leginkább érzékeny területen mozgó adatbázis gazdák (DBA) mutatnak különös viselkedést. Egy nagyjából másfél évvel ezelőtti, 305 Oracle DBA-t felölelő kutatás szerint kétharmaduk egyáltalán nem telepíti a frissítéseket, és csak tizedük követi rendesen a foltozásokat. Biztonsági szakemberek és az Oracle szerint is ennek magyarázata leginkább két tényezőre vezethető vissza: a hamis biztonságérzet, valamint a patchek telepítésével járó rengeteg tervezési, előtesztelési és éles telepítési és újratesztelési munka, tekintve az adatbázisok rendelkezésre állásának szükségességét.
A Windows/Oracle környezeteket megfelelően üzemeltető adminisztrátorok egy idei nem fogják elfelejteni ezt az októbert. A Microsoft szintén hatalmas frissítési csomaggal szolgált múlt hét kedden, október 13-án, mikor 34 sebezhetőséget zárt be, melyek nagy része a Windows Server különféle verzióiban és komponenseiben volt megtalálható.