22 augustus 2005

Het is niet een probleem waar de gebruiker tegenaan loopt. In sommige
gevallen installeren Oracle’s Critical Patch Updates geen aangepaste,
gecorrigeerde kopien van bestanden. Zowel de april als de juli patches
faalden
op verschillende terreinen. Toen gaf OPatch aan dat het aanbrengen van
patches geslaagd was, terwijl nog aanvullende werkzaamheden nodig waren
zoals het updaten van PL/SQL packages en Java Class-bestanden. Sommige
bestanden werden naar de verkeerde directory geschreven en dus nooit
uitgevoerd. Ook werkt OPatch het bestand waarin de patch-status wordt
bijgehouden niet altijd juist bij, waardoor er verschil optreedt tussen
de feitelijke status en het idee dat de beheerders van de patchstatus
krijgen. Voor zover bekend heeft dit probleem nog niet tot inbraken in
Oracle-databases geleid. Toch is het volgens Lichtfield een ongewenste
zaak dat bedrijven of universiteiten geen goed beeld hebben van de
patch-status van hun database. Niet alleen vanwege de
beveiigingsrisico’s, maar ook omdat ze op die manier mogelijk niet meer
voldoen aan eisen die voortvloeien uit regulerende wetgeving als
Sarbanes-Oxley of Basel II en eisen die beursautoriteiten stellen. De
kritiek (van vooral Oracle
zelf) dat de verspreiding van patches niet zo eenvoudig is als
beveiligingsexperts stellen en niet zo snel kan als ze willen, snijdt
volgens Litchfeld geen hout: de patches zelf zijn niet goed.
Letterlijk: ‘Als ze er zo lang over doen om patches uit te brengen,
moeten ze ook in orde zijn. En dat zijn ze niet: want twee jaar doen
over een patch moet toch leiden tot een oplossing ? Niet tot iets waar
de fouten van afdruipen en wat lijkt op haastwerk.’ En: ‘Het Empire
State Building kostte veertien maanden om gebouwd te worden; als dat
kan, dan kan Oracle toch wel werkende patches uitbrengen na daar twee
jaar aan gewerkt te hebben ?’ Gebruikers evenwel maken zich niet al te druk, hoewel bij sommigen Oracle-adoratie daarbij wel eens een rol kan spelen.