Gartner pede clareza sobre patches da Oracle

Eles dizem que a Oracle deixou de oferecer informações mais detalhadas sobre as vulnerabilidades que ocasionaram o lançamento de um patch de segurança, em agosto, e depois relançado em outubro. A preocupação é com as consequências de não se aplicar o patch, e, mais importante, em que medida as vulnerabilidades afetariam versões mais antigas, que não são mais suportadas, como Database Server, Application Server e Enterprise Manager.

Ainda segundo eles, pode ser inteligente não abastecer hackers com informações que podem ser usadas para futuras invasões, mas o perigo é não fornecer informações aos usuários sobre as ameaças. “Gestores de sistemas não têm informação suficiente para decidir quais servidores devem priorizar ou qual tipo de dado é mais vulnerável.”

Se a Oracle oferecesse mais detalhes acerca das vulnerabilidades, os clientes estariam aptos a criar táticas de defesa, como firewalls mais poderosos e sistemas de prevenção de intrusos.

MacDonald e Mogull recomendaram que as companhias usuárias de produtos Oracle solicitem os patches para suas versões ainda com suporte. Se edições mais antigas estão em uso, como as 7.x ou 8.0x, aconselham fazer um upgrade imediatamente ou trocar o banco de dados, além de pressionar a Oracle por uma posição mais clara. E alfinetam: “peça à Oracle que siga o exemplo da Microsoft e outras companhias, que detalham as vulnerabilidades e provêm patches de segurança grátis aos que têm versões suportadas”.