Oracle plakt 43 gaten met 'impopulaire' patchronde

Tussen de zestien Database-lekken zit er een kritieke voor de versies 9.2.0.8 en 9.2.0.8DV die het mogelijk maakt voor aanvallers om de server te kapen. Verder worden lekken gedicht in onder meer 10- en 11g, E-Business Suite, WebLogic Server (inclusief de plugins voor Apache en IIS) en PeopleSoft PeopleTools.

De Oracle CPU's zijn verzamelingen van patches die op vooraf vastgestelde data ieder kwartaal uitkomen, gelijktijdig met een Patch Tuesday van Microsoft. De patches van Oracle zijn berucht omdat het vaak om kritische systemen gaat, en het toepassen tijdrovend is. Recent bevestigde Oracle en een grote gebruikersgroep, de IOUG, nogmaals dat de kwartaalpatches niet veel worden toegepast.

Maar volgens Robin Buitenhuis, databasebeheerder en bestuurslid van de Nederlandse gebruikersgroep OGh betekent dat niet dat Oracle iets verkeerd doet. "Het is juist heel goed dat Oracle het zo aanpakt zoals ze het doen, omdat het beheerders de tijd geeft om te beslissen of en hoe ze omgaan met de patch updates", zegt Buitenhuis." Dat het lastig is om de patches toe te passen ligt volgens Buitenhuis aan de aard van de omgevingen waar Oracle in draait.

"Eerst moet je een evaluatie doen welke patches voor jou relevant zijn. Vervolgens moet je de patches testen. Dat kan in een aparte OTA-omgeving (Ontwikkel, Test en Acceptatie, -red.), of je kunt de boel aan een regressietest onderwerpen." Dat kost tijd, waardoor de beslissing om niets met een patch te doen helemaal geen verkeerde hoeft te zijn, vindt Buitenhuis. "Bij een grote omgeving ben je, met het testen en alles erbij, al snel zo'n tien, twintig, soms wel dertig uur kwijt, inclusief downtime", zegt Buitenhuis. "Het belangrijkste is dat je beleid rond de CPU's hebt, en het beleid om ze niet toe te passen is ook beleid."

Beheerders kunnen met de patches vooruit tot 14 juli, als de volgende CPU wordt uitgegeven.

Bron: Techworld