Sentrigo, een Amerikaanse producent van databasebeveiligingssoftware, vroeg het afgelopen halfjaar 305 Oracle databasebeheerders (dba's) of zij over de laatste patches van Oracle beschikten en of zij ooit veiligheidsupdates van het bedrijf hadden geïnstalleerd.

Slechts 31 respondenten zeiden de meest recente update te hebben geïnstalleerd, terwijl 206 beweerden nooit Critical Patch Updates (cpu's) te hebben toegepast. Een derde van de dba's had ooit wel een cpu geïnstalleerd.

Laksheid

Slavik Markovich van Sentrigo had in de wandelgangen al vernomen dat databasebeheerders het niet zo nauw nemen met de veiligheidspatches. "Sommigen weten niet eens wanneer een cpu uitkomt. Zelfs als de veiligheidsafdeling van hun bedrijf erop aandringt, steken bepaalde dba's de kop in het zand."

Markovich voert verschillende redenen aan voor deze laksheid. Ten eerste vrezen veel databasebeheerders dat het installeren van een patch het functioneren van de database kan hinderen. Omdat de applicaties die van de database gebruikmaken getest moeten worden, is dit een tijdrovende klus. Daarbij kunnen de toepassingen vaak tijdelijk niet gebruikt worden, hetgeen de meeste bedrijven zich niet kunnen veroorloven, aldus Markovich.

Ook weigeren sommige softwareproducenten om hun toepassingen te certificeren als Oracle patches zijn geïnstalleerd. Ten slotte moeten bedrijven die wel patches willen installeren eerst de voorgaande patch-set geïnstalleerd hebben. Zo kunnen zij steeds verder achter op schema raken, meent Markovich.

Martelgang

Veiligheidsexperts reageren geschokt op de resultaten van deze poll. Mike Rothman van adviesbureau Security Incite noemt de cijfers "verrassend en erg beangstigend". Amichai Shulman van concurrent Imperva deelt de zorgen, maar begrijpt de databasebeheerders ook wel. "Ik heb zelf Oracle patches geïnstalleerd en dat is een martelgang. Het moet handmatig gebeuren en is allemaal niet erg helder."

Oracle, dat deze week weer een cpu rondstuurt, zegt organisaties aan te moedigen om de updates regelmatig te installeren, zodat zij hun systemen veilig kunnen houden. De producent heeft nog niet gereageerd op de polluitslag.