67% administratorów baz danych Oracle nie instaluje poprawek

Subskrybuj RSS A A A
12 lutego 2008 11:15
Piotr Waszczuk

TAGI: aktualizacja zabezpieczeń baza danych Oracle

Wyniki badania ankietowego przeprowadzonego przez Sentrigo są zatrważające. Jedynie 32,5% osób odpowiedzialnych za funkcjonowanie baz danych Oracle korzysta z poprawek usuwających luki w zabezpieczeniach. Większość administratorów ignoruje aktualizacje.

Administratorów bazy danych Oracle zapytano o to, czy zainstalowali najnowsze poprawki likwidujące ujawnione luki w bezpieczeństwie. Ponad dwie trzecie z nich odpowiedziało, że nigdy nie instalowało takich poprawek. Zaledwie 10% badanych przyznało, że regularnie aktualizuje zabezpieczenia bazy danych. Pozostali instalują wyłącznie poprawki krytyczne - Oracle CPU.

Poprawki w pewnym zakresie zmieniają zachowanie bazy danych i wymuszają często długotrwałe testowanie zgodności zmienionego środowiska z użytkowanymi aplikacjami. Wiąże się to z wydatkowaniem określonego wymiaru pracy, a czasem również przestojami. I jednego i drugiego administratorzy chcą uniknąć.
Według Slavika Markovicha z Sentrigo, badanie potwierdziło informacje od pewnego czasu krążące w środowisku administratorów Oracle. "Niektórzy administratorzy wcale nie zwracają uwagi na konieczność aktualizowania zabezpieczeń baz, którymi administrują. Nie interesuje ich dostępność nowych paczek CPU" - mówi. Jego zdaniem, taka sytuacja ta ma co najmniej dwie przyczyny.

Pierwsza z nich to fakt, że poprawki stanowią ingerencję w sprawnie działającą bazę danych i mogą wpływać na wydajność systemu bazodanowego. "Poprawki w pewnym zakresie zmieniają zachowanie bazy danych i wymuszają często długotrwałe testowanie zgodności zmienionego środowiska z użytkowanymi aplikacjami. Wiąże się to z wydatkowaniem określonego wymiaru pracy, a czasem również przestojami. I jednego i drugiego administratorzy chcą uniknąć" - mówi Slavik Markovich. Ponadto zdarza się, że nowsze zabezpieczenia wymagają uprzedniego zainstalowania starszych, co dodatkowo komplikuje cały proces.

Drugą przyczyną nie przywiązywania wagi do poprawek zabezpieczeń jest brak ich certyfikacji ze strony dostawców oprogramowania korzystającego z bazy danych. Zwykle oznacza to utrudnione wsparcie techniczne.

Wyniki badania zaskoczyły przedstawicieli Oracle. Opublikowano specjalne oświadczenie, które ma na celu zachęcić administratorów do większej troski o aktualność zabezpieczeń własnych baz danych. Firma publikuje rocznie dziesiątki tego rodzaju poprawek.

Oceń artykuł

średnio: 5 liczba ocen: 1

Komentarze (5)

ora1521

11-07-2008 20:40

Panowie, Z calym szacunkiem, ale polecam kazdemu z Was pozycje do przeczytanie pt. The Oracle Hacker''s Handbook: Hacking and Defending Oracle by David Litchfield (dostepna chociazby na Amazonie). Jak przeczytacie ta ksiazke to zrozumiecie, ze mozna Tworzyc zaawansowane polityki bezpieczenstwa w obszarze uprawnien, mozna skladowac hasla sys/system w ksiazkach hasel ale i tak nie zapaczowana baza patchami CPU jest w kilkanascie sekund dostepna i w dodatku nie koniecznie trzeba miec konto z minimalnym zestawem uprawnien. Krotko mowiac nie istalowanie patchy CPU nawet w systemach wewnetrznych za 2-3 firewallami to zwykla ignorancja, a z pewnoscia arogancja wobec wlasnego pracodawcy lub klienta...

Michal

13-02-2008 12:28

na to jest metoda - jest co¶ takiego jak Enterprise Manager, gdzie dokupic można PACKi - jeden z nich załatwia sprawę patchow wł±cznie z tym ze ł±czy sie do metalinku i ¶ciaga łatę...

sss

12-02-2008 14:10

BO 70 % włamań do systemów jest z wewn±trz firmy.

~Gość

12-02-2008 11:55

Dokładnie tak jak kolega napisał. Po co ryzykowac padniecie bazy , paraliz firmy, jeśli baza jest w sieci lokalnej tylko. A pozatym wiem że niektózy martwią się czy te "niekrytyczne" poprawki nei spowodują nagłego spuchnięcia bazy z 8 do 40GB, których swojadrogą moze nei być na dysku wolnych.

Gościnny

12-02-2008 11:45

Może te procenty wynikają też z tego, że instalowanie poprawek do Oracle nie jest proste - trzeba się przekopać przez tonę dokumentacji jak instalować dane poprawki w naszym środowisku i konfiguracji, potem przejść całą, nierzadko skomplikowaną procedurę i modlić się, żeby nie padło, bo zapomnieliśmy gdzieś tam zrobić jakiegoś wpisu. Jeśli działa, a serwer jest tylko w sieci lokalnej, to po co komplikować sobie życie?





Najnowsze

Państwo do konsolidacji

Obywatele uważają administrację publiczną za jeden organizm. W rzeczywistości jest to kilka tysięcy oddzielnych struktur, obrosłych biurokratycznymi naroślami. Czy można zracjonalizować działanie państwa? Jak w tym może pomóc informatyka?

Zarządzanie po japońsku

W praktyce przemysłowej wypracowano szereg skutecznych metod zarządzania. Wiele powstało w Japonii. Dlaczego, mimo ich efektywności, nie zawsze są stosowane w biznesie?

e-Sąd z odsieczą sprawiedliwości

Polski wymiar sprawiedliwości postrzegany jest jako skostniały i opieszały. Tymczasem kolejne e-usługi udostępniane przez Ministerstwo Sprawiedliwości ułatwiają życie przedsiębiorcom i usprawniają pracę sądów.

e-Zdrowie w Polsce i na świecie

Projekty informatyzacji służby zdrowia realizowane są na świecie z różnym powodzeniem. Skąd Polska mogłaby czerpać wzorce? A może jesteśmy skazani na własne rozwiązania?

Raport Państwo 2.0, czyli nowa wizja informatyzacji państwa

Michał Boni, minister administracji i cyfryzacji, zaprezentował raport "Polska 2.0. Nowy start dla e-administracji". Przedstawia on informacje na temat stanu realizacji projektów będących w gestii nowo utworzonego ministerstwa oraz prezentuje kierunki dalszych działań związanych z informatyzacją i cyfryzacją administracji publicznej w naszym kraju.

Cyberprzestępcy podążają za użytkownikami

Już dwie na trzy polskie firmy odnotowały ataki lub awarie, które spowodowały spadek produkcji. Co trzecia firma utraciła dane. Liczba takich przypadków będzie rosła, bo hakerzy biorą na cel najbardziej masowe technologie. Szybko reagują też na zmiany w firmowej architekturze.

Jak zaplanować karierę w branży IT

Doświadczenia łączone na różnych stanowiskach w firmach o odmiennych profilach są szczególnie cenione przez pracodawców. Dlatego warto głęboko przeanalizować możliwości rozwoju kariery, które obecnie stwarza rynek IT.

Rekomendacje




Serwisy IDG - Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME
Reklama - Licencjonowanie treści - Prenumerata: Computerworld, Networld, PC World
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
© Copyright 2012 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88