Oracle comienza a distribuir sus parches de forma mensual

Oracle publicará parches mensuales para sus productos de bases de datos, servidor de aplicaciones y Enterprise Manager. Hasta el momento, Oracle ha publicado las actualizaciones en el momento en que era necesario. Pero ahora cambia esta política, ya que según la compañía un solo parche que englobe múltiples correcciones, con una agenda previamente determinada, cumple mucho mejor las necesidades de los clientes. Esta nueva política y los argumentos son exactamente los mismos que los que Microsoft estableció a finales del año pasado y que, en lo que a marketing se refiere, le está dando buenos resultados.

El argumento de que al publicar una única actualización mensual, permite a los administradores planificar las actualizaciones, ya fue rebatido duramente por nuestros lectores, ya que son las empresas las que planifican sus propias políticas de actualizaciones y que éstas no deben estar condicionadas por terceras empresas.

El problema va mucho más lejos, en los últimos días la compañía había recibido fuertes críticas al darse a conocer que durante más de 8 meses existían hasta 34 vulnerabilidades reconocidas por la propia compañía y para las que incluso ya disponía de las correspondientes actualizaciones.

Sin embargo, sin una causa razonable seguían retrasando de forma intencionada los parches necesarios para evitar problemas tan graves como desbordamientos de búfer explotables remotamente o acceso no autorizado a las bases de datos mediante técnicas de inyección.

Con fecha 31 de agosto, Oracle ha publicado el primero de sus super-parches, eso sí, sin dar ningún tipo de detalles sobre el número y tipo de los problemas corregidos, su gravedad, implicaciones, etc. Tan solo avisa de la publicación de una actualización para nueve de sus productos (incluyendo Oracle Database, Oracle Enterprise Manager Grid Control, Oracle Enterprise Manager Database Control y Oracle Application Server), los usuarios deberán creer en la importancia de este parche e instalarlo.

Posiblemente todo responda a una operación de marketing, no debe ser fácil para una compañía que publicita sus productos como “irrompibles” (“unbreakable”) reconocer públicamente que tiene 34 fallos y que permiten el control total de los sistemas afectados.

Tras esta nueva política de actualizaciones de Oracle, no podemos ver ningún beneficio para la comunidad, siempre nos hemos mostrado totalmente contrarios a la seguridad por oscuridad. Que una vulnerabilidad no se publique, no quiere decir que no existan ataques basadas en ellas que estén pasando desapercibidos.

El sistema debe ser seguro por diseño, no porque no se publiquen o se oculten sus fallos. No a la seguridad por oscuridad. Lamentablemente, solo podemos pensar que todo es una nueva maniobra de marketing para tratar de ocultar que Oracle se ve afectado por problemas de seguridad (al igual que la mayoría del software).

Evidentemente no es lo mismo publicar un único parche global para todos los productos al mes, que publicar un número indeterminado a lo largo del mes. Si se publican muchos parches la repercusión mediática es mayor y a los usuarios les queda la sensación de un producto inseguro, con frecuentes vulnerabilidades.

Con solo publicar un parche global al mes, sin indicar incluso el número de problemas corregidos, a los usuarios les queda la impresión de que solo existe un fallo, nada más lejos de la realidad.