Oracle, Debian und die Fixe

Vor einiger Zeit meldete der Heise Security-Newsticker ganz aufgeregt, dass der Linux-Distributor Debian für einen Zeitraum von mehreren Wochen nicht in der Lage war, Sicherheits-Patches zu liefern, weil die zuständigen Leute in Urlaub/krank/lustlos oder auf Konferenzen waren. Ich habe das darauf zurückgeführt, dass die Arbeit an OpenSource-Produkten eben oft auf freiwilliger Basis stattfinden würde und mich gefragt, ob sich Linux, GNU und OpenSource-Software angesichts solcher systembedinger Schwächen nicht langfristig den Ruf verdirbt.

Das jedoch, hat schon jemand anderes geschafft: Der Software-Riese Oracle - nicht eben bekannt für preiswerte Software - hat es inzwischen geschafft, einzelne Sicherheitslücken bis zu 718 Tagen ohne Fix zu lassen, nachzulesen im Register, der sich auf die Website der deutschen, auf Oracle Sicherheit spezialisierten Firma Red Database Security bezieht.

Die Heise-Meldung zum Thema Debian-Fixe ist vom 27.06.2005 und besagt, dass zu diesem Zeitpunkt das letzte Advisory 24 Tage alt war, woraus wir errechnen können, dass Oracle dieses Ergebnis - Stand heute - um den Faktor 29 toppt. Und das ganz ohne freiwillige Hilfe.