Oracle рассылает множество патчей, но многие администраторы БД откладывают их в долгий ящик
Oracle открыла новый год рассылкой пакета критических обновлений, содержащего больше двух десятков патчей для сотен своих продуктов. Среди 27 исправлений, выпущенных 15 января, имеются шесть патчей для Oracle Application Server и восемь — для СУБД.
Одновременно с публикацией софтверным гигантом исправлений для ПО были обнародованы результаты исследования, проведенного фирмой Sentrigo, которое показало, что многие администраторы баз данных (DBA) эти обновления не устанавливают.
Конечно, Oracle заботится об усилении безопасности своего ПО. Однако инсталляция обновлений требует больших трудозатрат и грозит простоями, что многими DBA и ИТ-специалистами воспринимается как не меньшее зло, чем сама уязвимость.
По данным Sentrigo, исследующей безопасность баз данных, многие администраторы БД Oracle, имеющие реальный опыт управления угрозами безопасности, предпочитают откладывать установку патчей в долгий ящик. С августа прошлого года Sentrigo проводила скользящий опрос среди DBA, консультантов и разработчиков на совещаниях ассоциации Oracle Users Group, проходивших в разных городах США, и собрала в конечном счете ответы 305 специалистов.
По данным Sentrigo, инсталляцию самого последнего комплекта Oracle CPU (critical patch updates) подтвердил только 31 человек, т. е. примерно 10% из всех опрошенных, а 67,5% (206 респондентов) признались, что они никогда не пользовались критическими обновлениями Oracle. Вопрос, работают ли респонденты с более старыми версиями СУБД-продуктов Oracle, для которых процедура инсталляции ежеквартальных обновлений, появившаяся три года назад, не предусмотрена, в данном случае не задавался.
“При небольших вариациях в качестве главной причины называется трудоемкость процессов обновления, — отметил Славик Маркович, технологический руководитель Sentrigo. — Обычно DBA дожидаются выхода полного пакета патчей, пропуская промежуточные CPU.”
По словам Марковича, хотя в опросе не было пункта, касающегося размера организации, ответы были получены от предприятий всех категорий. В малом бизнесе проблема, как правило, упирается в дефицит персонала. В крупных организациях нежелание возиться с патчами часто связано с очень большим количеством эксплуатируемых баз данных.
Хотя официально Sentrigo всегда убеждала пользователей Oracle не медлить с установкой новейших обновлений, сама компания защищает свои базы данных от атак “нулевого дня” с помощью технологии Virtual Patching. Как отмечает Эри Каплан, президент Independent Oracle Users Group, другим возможным решением является просто переход на Oracle Database 11g: “Что касается вынужденных простоев, то в Database 11g появилась функция “горячих” обновлений, позволяющая устанавливать патчи без отключения доступа. Если компания еще не перешла на 11g, то для инсталляции обновлений, не ведущей к остановке приложений, ей приходится придумывать весьма изощренные методы или заниматься этим делом среди ночи”.
По словам Каплана, установка CPU нередко плохо согласуется с процедурами сертификации. “В процессе сертификации обычно используется матрица, показывающая, какие патчи поддерживаются в той или иной среде, — сказал он. — Если в компании применяются заказные приложения, может понадобиться регрессивное тестирование. Все это зависит еще и от того, к какому элементу программного стека применяется патч: к СУБД, серверу приложений, прикладной системе или к чему-то еще”.
В каждой компании, отметил Каплан, существуют свои внутренние требования и процедуры, и от них также в немалой степени зависит, будет ли патч установлен сразу или его отложат до лучших времен. “Например, если корпоративный регламент обязывает устанавливать патчи безопасности в течение суток с момента их выпуска, все будет сделано вовремя. Если же право решать оставлено за самими DBA, а у них есть другие срочные задания или их отправили на совещание, про патч могут и забыть”.