jueves, 18 de noviembre de 2004

Oracle publicará sus parches de forma trimestral

Oracle ha anunciado que la publicación de las actualizaciones de su
software se realizarán de forma trimestral. Esta nueva planificación,
viene pocos meses después de que comunicara que estas actualizaciones
de seguridad se publicarían cada mes.

En un movimiento, que puede considerarse poco acertado, Oracle retrasa
aun más la distribución de parches, que serán distribuidos a todos los
usuarios a través de su sitio web de soporte cada comienzo de
trimestre. Las fechas prefijadas para el 2005 son el 18 de enero, 12 de
abril, 12 de julio y 18 de octubre.

Según Oracle, esta nueva programación permitirá a los usuarios planear
la instalación de parches, en vez de reaccionar con sorpresa ante las
alertas de actualizaciones. La compañía también ha dicho que este
programa de distribución servirá para ayudar a las compañías a evitar
el apagón de actualizaciones que se produce en los cierres de trimestre
económico, momento en que muchas empresas no actualizan los sistemas
debido a que se encuentran cerrando sus cuentas.

Otro argumento empleado por Oracle es que mediante esta distribución
pretende ayudar a las empresas a minimizar el coste de aplicación de
parches, al publicar una única actualización bien integrada y probada
que corregirá múltiples vulnerabilidades de gravedad.

El último parche publicado por la compañía fue el 31 de agosto, (con
una revisión del mismo el 24 de septiembre), momento en el que ya se
comprometió a la publicación mensual de parches. Desde dicha fecha no
se ha realizado ninguna distribución de parches más y este anuncio
puede significar que haya que esperar hasta enero para ver una nueva
actualización de Oracle.

Como ya hemos comentado en diversas ocasiones, esta política de
distribución de parches fue iniciada por Microsoft, con los mismos
argumentos que Oracle emplea en la actualidad. Aunque de igual forma ya
hemos comentado que nuestros lectores rebatieron estos razonamientos al
considerar que deben ser las propias empresas las que planifiquen sus
políticas de actualizaciones y que éstas no deben estar condicionadas
por terceras empresas.

Por otra parte, Oracle alarga el periodo entre actualizaciones a tres
meses, lo cual abre una ventana de tiempo aun mayor que cuando la
publicación se realiza de forma mensual.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (02/09/2004) Oracle comienza a distribuir sus parches de forma mensual
http://www.hispasec.com/unaaldia/2139

Oracle Moves To Quarterly Security-Patch Cycle
http://informationweek.com/story/showArticle.jhtml?articleID=53700526

Oracle to deliver security patches on quarterly basis
http://www.infoworld.com/article/04/11/18/HNoraclepatchquarterly_1.html