O tom, že zabezpečení aplikací od Oraclu má často slabiny vinou samotných správců, jsme již na Security Worldu psali v článku Dvě třetiny správců databáze Oracle odmítají aktualizovat.
Americký Computerworld nyní cituje analýzu, podle které je problémem často samotná definice firemní politiky. Správci nemají oprávnění, aby mohli záplaty nasazovat rychle po vydání. Objevené zranitelnosti jsou tak vystaveny útokům i po uvolnění oprav.
Oracle sám vydává záplaty s poměrně nízkou frekvencí, jednou za čtvrt roku. Nicméně to má důvod, protože rychlejší a tím pádem i častější aktualizace by zřejmě vedly k ještě většímu chaosu. Průzkum sdružení Independent Oracle Users Group (IOUG) ukázal, že i čtvrtletně nasazuje aktualizace brzy po vydání jen 26 % podniků. Nadto dalších 6 % uvedlo, že se po nich žádá pouze instalace záplat, které sám Oracle označí za kritické, a to pouze na kritických firemních systémech.
30 % respondentů tvrdí, že v jejich firmách pro nasazování záplat Oraclu vůbec neexistuje jednoznačně definovaná politika. 32 % firem vyžaduje před instalací záplaty provést analýzu předpokládaných možných problémů vs přínosů. Pouze 30 % správců tvrdí, že v okamžiku vydání dávky záplat již mají nainstalovány všechny opravy z minulé várky, 25 % je pozadu o více než cyklus (tj. 3-6) měsíců, další ještě delší dobu. Celých 14 % zásadně neinstaluje vůbec žádné opravy včetně těch kritických.
Samozřejmě je pravda, že nasazení záplaty na databázi v produkčním prostředí nemusí být vůbec triviální a znamená určité riziko. Na vině je ale také podcenění problému, když si zodpovědní pracovníci myslí, že databázové systémy jsou od zbytku světa relativně izolované (jistě, třeba v porovnání s desktopy opravdu jsou).
Zdroj: Computerworld.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU