Oracles patchrondes bevatten steeds minder patches voor zijn database. Omdat het product uitgerijpt is, stelt Oracle zelf. Omdat het de handdoek in de ring heeft gegooid wat het dichten van lekken in zijn database betreft, zegt een onderzoeker die zijn vindingen niet gepatcht ziet.

Oracle heeft in zijn patchronde van deze maand maar twee patches voor zijn Oracle-database gepubliceerd. De vorige ronde, van oktober 2011, waren dat er slechts vijf. Het aantal patches voor de Oracle-database daalt al sinds begin 2010. Voor die tijd zat het aantal patches geregeld boven de tien.

Volgens Oracles directeur beveiliging Eric Maurice weerspiegelt dat de rijping van de databasecode en de inspanningen die Oracle zich getroost heeft om deze veiliger te maken. In de toekomst zal het aantal patches voor de Oracle-database, als er geen nieuwe aanvalsmethoden ontwikkeld worden, blijvend lager liggen dan in het verleden, schreef Maurice bij de oktober-patchronde, en hij herhaalde die woorden op het Oracle Software Security Assurance Blog.

'Gebrek aan aandacht voor de database'

Alex Rothacker van Application Security denkt dat de werkelijkheid anders ligt. Volgens hem heeft Oracle de aandacht verlegd naar de geacquireerde producten van Sun en MySQL en naar zijn Fusion-middleware, en gaat dat ten koste van de aandacht voor de database. Want uitgerijpt of niet, de Oracle-database bevat nog wel degelijk zwakke plekken: Rothacker en zijn team hebben het afgelopen jaar negen lekken aan Oracle gerapporteerd die nog steeds niet gepatcht zijn, en ten minste twee daarvan kwalificeren zijn medewerkers als 'erg riskant'. Er zitten ook problemen in de Enterprise Manager, waarmee je databases kan beheren en patches kan aanbrengen, stelt Rothacker.

Oracle heeft nog niet gereageerd op de aantijgingen van Rothacker.