Хакер #311. Сетевые протоколы под микроскопом
Согласно результатам опубликованного в прошлую среду опроса, продолжительное
отсутствие корпоративных правил по своевременной установке обновлений
безопасности Oracle может приводить к тому, что системы баз данных Oracle будут
на протяжении длительного периода времени являться уязвимыми для атак.
В результате исследований, проведенных в промежуток между маем и августом
прошлого года совместными усилиями Oracle Users Group (IOUG) и Oracle
выяснилось, что лишь в 26% случаев корпоративные правила обязывают опрошенных
администраторов устанавливать квартальные обновления сразу после их выхода.
Еще 6% из более, чем 150 респондентов отметили, что от них требуют
устанавливать обновления критических патчей Oracle (Oracle Critical Patch
Updates, CPU) лишь на самые важные системы. В то же время, 30% участников опроса
заявили о том, что их организации не имеют каких-либо особых правил, касающихся
патчей Oracle, а 32% IT-специалистов сообщили, что их компании требуют от своих
администраторов проводить предварительную оценку рисков и затрат, связанных с
установкой таких обновлений.
Кроме того, результаты опроса свидетельствуют, что большинство респондентов
отстают от графика обновлений Oracle на месяцы, и даже годы. Только в 30%
случаев патчи устанавливаются до момента выхода следующего комплекта заплаток, а
25% опрошенных говорят, что время задержки с установкой апдейтов в их системах
составляет от трех до шести месяцев. 26% профессионалов отстают на два и более
циклов обновлений, а 11% администраторов не устанавливает патчи вообще.
Oracle, выпускающая квартальные патчи с начала 2005 года, обычно
подготавливает десятки обновлений для всей линейки своих продуктов, в связи с
чем их надлежащая установка является сложной и затратной по времени задачей,
зачастую требующей месяцев труди и значительного увеличения времени простоя
оборудования. Именно по этой причине многие компании либо медлят с установками
CPU, либо вообще отказываются от них.
