Dinsdag rolde Oracle zijn driemaandelijkse patchronde uit. Het bedrijf bracht in totaal 66 patches uit voor haar producten. Slechts zes van die patches waren voor databasesoftware, nog steeds het vlaggenschip van het bedrijf. De andere patches waren bijvoorbeeld voor CRM-software en met name voor producten die het door de overname van Sun verkreeg.

Dalende trend in het aantal patches

Er is al langer een dalende trend te zien in de patches voor de databasesoftware van Oracle. In het vorige kwartaal bracht Oracle daarvoor nog negen patches uit. In heel 2010 waren dat er 32, in 2009 54 maar in 2007 nog meer dan 70. Hoewel dat zou kunnen betekenen dat de databasesoftware van Oracle steeds veiliger wordt is dat volgens Alex Rothacker van Application Security (App Sec) niet zo.

Hij stelt dat Oracle niet voldoende capaciteit heeft om de volledige lijst met gebreken in de databasesoftware op te lossen. App Sec meldde drie van de zes problemen die Oracle dinsdag oploste. Rothacker zegt tegen onze zusteruitgave Computerworld dat zijn bedrijf ook verschillende gelijkaardige problemen aan Oracle heeft voorgelegd. Die zijn nog niet opgelost terwijl ze soms al maanden bekend zijn.

'Oracle heeft zijn prioriteiten veranderd'

“Oracle heeft waarschijnlijk zijn prioriteiten veranderd en kiest er nu voor om niet langer alle problemen op te lossen. Het lijkt erop dat ze hun focus op de databasesoftware verliezen omdat de aandacht over andere producten verspreid moet worden”, stelt de beveiligingsspecialist.

Amichai Shulman van databasebeveiligingsbedrijf Imperva meent dat er een aantal knelpunten in het patchproces van Oracle moet zitten. Dat zorgt ervoor dat ze het tempo voor software-updates van een paar jaar geleden niet meer kunnen volhouden. Hij gokt erop dat de integratie van zoveel verschillende software van verschillende leveranciers ertoe leidt dat Oracle iedere updatecyclus minder kwetsbaarheden op kan lossen.

Volgens Shulman moeten beveiligingsonderzoekers die Oracle informatie voor kwetsbaarheden hebben toegespeeld ook nog horen van de databasegigant. “Ik zou echt graag denken dat het steeds beter gaat met de veiligheid van producten”, zegt hij, “maar eerlijk gezegd kan dat het niet zijn”.

Beheerders tasten in het duister

En waar beveiligingsonderzoekers die Oracle tippen over een fout in hun software geen informatie meer krijgen over wat het bedrijf er mee doet, krijgen beheerders geen informatie meer over wat er in een patchronde is geüpdatet. Dat merkt Stephen Kost van beveiligingsfirma Integrigy op.

In tegenstelling tot de meeste andere bedrijven doet Oracle namelijk geen of nauwelijks uitspraken over opgelost kwetsbaarheden. Zo geeft Oracle niet aan wat een systeembeheerder moet testen nadat hij de patch heeft geïnstalleerd. Volgens Kost weten beheerders zo dus niet wat ze kapot kunnen maken.

Kost stelt overigens dat de laatste tijd wel steeds meer gaten in de databasesoftware zelf zijn opgelost. In ondersteunende software zoals de Oracle Database Vault is dat helemaal niet zo. Volgens hem verkleint dat het risico op beveiligingsproblemen niet maar verplaatst Oracle dat risico op deze manier naar een andere locatie.