Oracle führt monatlichen Patch-Day ein

Ähnliche wie Microsoft wird Oracle demnächst einen monatlichen Patch-Day einführen.

Ähnliche wie Microsoft wird Oracle demnächst einen monatlichen Patch-Day einführen. Das bestätigte eine Sprecherin des Datenbankspezialisten gegenüber dem Branchendienst eWeek. Experten hatten diesen Schritt erwartet, da Oracle bereits seit einiger Zeit die Patches für entdeckte Sicherheitslücken schuldig bleibt.
“Oracle wechselt zu einem monatlichen Patch-Rollup-Modell, weil wir denken, dass ein umfassender Patch für mehrere Lücken zu einem festgelegten Zeitpunkt den Kundenbedürfnissen besser entgegenkommt”, so die Oracle-Sprecherin. Für das Unternehmen sei das zwar eine Herausforderung, aber die nehme man gerne an, um den Kunden zu helfen.

Auf der Anwenderseite gehen die Meinungen über den Nutzen dieser Neuerung jedoch stark auseinander. Die einen argumentieren, es sei einfacher mit einem einzigen Rundumschlag umzugehen, als die Patches – wie beim derzeitigen Modell – häppchenweise zu bekommen.

Bei der Deutschen Oracle-Anwendergruppe (DOAG) steht man den Plänen dagegen kritisch gegenüber. “Bei erkannten Sicherheitslücken ist es beispielsweise ein großer Nachteil, den festen Zyklus abwarten zu müssen; hier sollten Patches umgehend ausgeliefert werden”, sagte DOAG-Vorstand Rolf Scheuch gegenüber silicon.de. Grundsätzlich sei der Patch-Vorgang für viele Anwender ein Problem, da während dieser Zeit die Systeme angehalten werden müssten. In diesem Zusammenhang sei die Reduzierung der Patch-Zahl auf zwölf pro Jahr zwar hilfreich. Es wäre jedoch wünschenswert, wenn Oracle den Patch-Vorgang weiter vereinfachen würde, so Scheuch.

Oracle bestätigte inzwischen auch die Sicherheitslücken, die Anfang des Monats auf der Security-Konferenz Black Hat bekannt geworden waren. Betroffen seien die Programme ‘Oracle Database’, ‘Oracle Application Server’ und ‘Oracle Enterprise Manager’. Man könne jedoch nicht bestätigen, dass es derzeit 34 Sicherheitsrisiken in Oracle-Software gebe. Eine korrekte Zahl wollte das Unternehmen jedoch ebenfalls nicht nennen.