Oracles Verständnis von Sicherheit

Die allgemein gültige Weisheit, man solle nicht den Ast absägen auf dem man sitzt gilt offensichtlich nicht unbedingt für jeden. Dies ist die Quintessenz des aktuellen Editorials der iX 3/2013 von Christian Kirsch. In „Write once, bugs everywhere“ wird auf das zentrale Argument für den Einsatz kommerzieller, proprieträrer Software verwiesen – Wartung (und die Realität).

Oracle scheint es mit der Wartung insofern nur ernst zu nehmen, als der Kunde pünktlich und regelmäßig zahlt. Der Rest ist egal dann gelaufen. Beispiele gefällig? Seit vier Jahren existiere so Christian Kirsch „in Oracles namensgebender Datenbank (vulgo Database) eine Lücke die Man-in-the-Middle-Angriffe ermögliche“. Kunden der Version 11g sollen zwar bezahlen, eine Korrektur aber nicht mehr erhalten. Oder aber der Umgang mit MySQL. Die Bezeichnung kein Ruhmesblatt für Oracle ist in diesem Zusammenhang eine echte Untertreibung. Exploits für die Zero-Day-Lücken sind seit Dezember bekannt und Oracle tue nichts für seine Kunden mit Wartungsvertrag

Interessiert man sich in Redwood Shores nicht dafür? Kann man die Bugs nicht beheben, fehlt es vielleicht an einer Lösung? Das kann es wohl nicht sein, denn der Clone MariaDB habe die meisten bereits beseitigt. Es wird aber noch besser. Christian Kirsch führt aus: „Die allgemein zum Herunterladen verfügbaren MySQL-Quellen und -Binaries der Community-Version enthalten zwar bereits einige Korrekturen, doch wer zahlt, soll darauf noch warten.“ Ähm, ja, verstehe ich das jetzt richtig? Wer zahlt ist der Dumme, weil er etwas nicht erhält was derjenige der nichts zahlt bereits hat?

Setzt sich dieses Geschäftsgebaren durch, dann gehen den Unternehmen die Wartungsverträge anbieten langsam aber sicher die Argumente für solche Verträge aus. Und es ist Wasser auf die Mühlen derjenigen, die grundsätzlich für den Einsatz von Open Source Software plädieren. Aus Sicht von Oracle und Co. sicherlich nicht die beste Lösung!

PS: Erneut ist dieses Editorial der Beleg dafür, dass sich die regelmäßige Lektüre der iX lohnt. Bei mir jedenfalls ist es das erste was ich lese, wenn ich die iX aus dem Briefkasten geangelt habe. Daher an dieser Stelle ein Dankeschön an Christian Kirsch und alle seine Kollegen die Monat für Monat ein tolles Editorial auf die Beine stellen – und der Rest des Heftes ist wie immer auch noch einen Blick wert. 🙂

Advertisements