Oracle-Anwender meiden Updates

Das ist das Ergebnis einer Umfrage der Sicherheitsfirma Sentrigo über die Nutzung von Oracles vierteljährlichen Critical Patch Updates. Für die Studie wurden auf verschiedenen Oracle-Konferenzen im vergangenen Jahr insgesamt 305 Datenbank-Administratoren, Berater und Entwickler zu ihren Gewohnheiten bei den Sicherheits-Updates befragt.

Die Umfrage ergab, dass zwei Drittel der Befragten niemals auch nur eines der vierteljährlichen Update-Pakete von Oracle implementiert haben. “Um die Updates zu implementieren müssen erst alle Anwendungen, die auf der Datenbank laufen, getestet werden. Bei einer einzigen Datenbank können das zwischen dreien und Tausenden von Anwendungen sein, somit dauert der Test sehr lange. Lediglich hie und da in der Datenbank einen Fehler zu beheben, birgt immer das Risiko, dass einzelne Anwendungen beeinträchtigt werden”, erklärte Slavik Markovich, Sentrigos Technologie-Chef.

Von den 33 Prozent der User, welche zumindest schon einmal Oracle-Updates installiert haben, gaben nur zehn Prozent an, eines der letzten beiden Updates implementiert zu haben. Somit müssten sich die Datenbank-Administratoren laut Markovich dieser Aufgabe ernsthafter annehmen.

Immerhin enthält das heute erscheinende, jüngste Update 27 Patches für unterschiedlichste Oracle-Produkte. Während die acht Sicherheits-Patches für die Oracle-Datenbank weniger sicherheitsrelevant sind, lassen sich die sechs Updates für den Application Server deutlich leichter von Angreifern ausnutzen. Diese Schwachstellen könnten für einen entfernten Angriff ohne Authentifizierung missbraucht werden.