22 augustus 2005
Na Oracles patch-inspanning ligt nu ook Oracles hulpmiddel voor het aanbrengen van patches onder vuur.
Dat hulpmiddel, OPatch, brengt patches niet in alle gevallen aan, en
meldt soms ook klaar te zijn wanneer nog aanvullende werkzaamheden
moeten worden uitgevoerd, zo stelt David Litchfield, managing director
van Next Generation Security Software. De meerderheid van de gebruikers
van de Oracle Database Servers heeft een verkeerd beeld van de
patch-niveaus van de database en zijn daardoor veelal niet compliant
met allerlei richtlijnen (zoals Sarbanes-Oxley). Litchfeld stelt dat in
76 % van de gevallen er anomalies bestaan tussen de verwachte en de
actuele patch-toestand van de database. Dit kan grote
beveiligingsproblemen geven, omdat de database zelf voor het probleem
zorgt en niet de organisatie die de database server gebruikt. De
gebruikers doen niets fout; OPatch werkt niet.
Het is niet een probleem waar de gebruiker tegenaan loopt. In sommige
gevallen installeren Oracle’s Critical Patch Updates geen aangepaste,
gecorrigeerde kopien van bestanden. Zowel de april als de juli patches
faalden
op verschillende terreinen. Toen gaf OPatch aan dat het aanbrengen van
patches geslaagd was, terwijl nog aanvullende werkzaamheden nodig waren
zoals het updaten van PL/SQL packages en Java Class-bestanden. Sommige
bestanden werden naar de verkeerde directory geschreven en dus nooit
uitgevoerd. Ook werkt OPatch het bestand waarin de patch-status wordt
bijgehouden niet altijd juist bij, waardoor er verschil optreedt tussen
de feitelijke status en het idee dat de beheerders van de patchstatus
krijgen. Voor zover bekend heeft dit probleem nog niet tot inbraken in
Oracle-databases geleid. Toch is het volgens Lichtfield een ongewenste
zaak dat bedrijven of universiteiten geen goed beeld hebben van de
patch-status van hun database. Niet alleen vanwege de
beveiigingsrisico’s, maar ook omdat ze op die manier mogelijk niet meer
voldoen aan eisen die voortvloeien uit regulerende wetgeving als
Sarbanes-Oxley of Basel II en eisen die beursautoriteiten stellen. De
kritiek (van vooral Oracle
zelf) dat de verspreiding van patches niet zo eenvoudig is als
beveiligingsexperts stellen en niet zo snel kan als ze willen, snijdt
volgens Litchfeld geen hout: de patches zelf zijn niet goed.
Letterlijk: ‘Als ze er zo lang over doen om patches uit te brengen,
moeten ze ook in orde zijn. En dat zijn ze niet: want twee jaar doen
over een patch moet toch leiden tot een oplossing ? Niet tot iets waar
de fouten van afdruipen en wat lijkt op haastwerk.’ En: ‘Het Empire
State Building kostte veertien maanden om gebouwd te worden; als dat
kan, dan kan Oracle toch wel werkende patches uitbrengen na daar twee
jaar aan gewerkt te hebben ?’ Gebruikers evenwel maken zich niet al te druk, hoewel bij sommigen Oracle-adoratie daarbij wel eens een rol kan spelen.