Oracle hat gestern einen Security-Fix ausserhalb der quartalsweise erscheinenden CPUs veröffentlicht.
Dieser schliesst eine Lücke im im WebLogic Node Manager (CVE-2010-0073), welche remote ohne Authentifizierung ausgeführt werden kann. Der CVSS-Basescore ist 10 – es kann also zum kompletten Verlust der Integrität, Vertraulichkeit und Verfügbarkeit führen!
Deshalb empfiehlt Oracle den Patch sofort einzuspielen.
Mehr Informationen und der Link zum Download findet ihr in diesem OTN-Artikel.
Ich wünsche allen Kunden, Kollegen, Bekannten, Freunden, … schöne Weihnachten, einen guten Rutsch und ein erfolgreiches 2010.
Weihnachtsbild meiner Tochter Mahelet
Ich möchte gern noch einen Nachtrag zu der DOAG-Regio-Veranstaltung schreiben – und euch um eure Meinung bitten.
Continue reading ‘Nachlese DOAG Regio’ »
Die PPTs für meinen DOAG-Regio-Vortrag “Neue Security Features in Oracle 11g” können hier geladen werden.
Als dritter Teil meiner kleinen Blogreihe über das neue External Table Feature (Scriptausführung per PREPROCESSOR) noch ein paar Worte über Security 
Was ist hierbei das hauptsächliche Security-Risiko?
Continue reading ‘External Tables, Scripts und Security-Risiken’ »
Ein kleiner Nachtrag zu meinem Eintrag über External Tables:
Die Ausführung von Scripten (also die Option PREPROCESSOR) funktioniert nicht mit Oracle Database Vault.
Continue reading ‘External Tables und Database Vault’ »
In diesem Blogeintrag beschreibt Ulrike Schwinn von Oracle sehr gut, wie man External Tables benutzt – und vor allem das neue 11g-Feature. Damit ist es möglich, vor dem Lesen der Datei Scripte auszuführen, um z.B. die Datei erst einmal zu entpacken (oder auch per scp/ftp irgendwo abzuholen).
Aber damit kann wesentlich mehr erreicht werden. Unter anderem ist dies eine Möglichkeit, Verzeichnisinhalte auszulesen. Bis jetzt war das eine der Aufgaben, die rein mit PL/SQL nicht gelöst werden konnten – man musste auf Java Stored Procedures ausweichen.
Continue reading ‘External Tables in Oracle – und der “ls” Befehl’ »
Am 09.12.2009 halte ich wieder mal einen Vortrag an einem DOAG-Regionaltreffen. Das Thema sind die neuen Security Features in Oracle 11g (Release 1 und 2) sowie eine Bewertung dieser Neuerungen (Vorteile, Nachteile, Risiken).
Einen zweiten interessanten Vortrag hält mein Kollege Michael Schellin über “Sicheres Testdatenmanagement – Oracle Datamasking Best Practices”.
Mehr Infos findet ihr auf der DOAG-Seite.
Ich freue mich schon auf spannende Diskussionen während der Veranstaltung – und auch danach im Löwenbräukeller
Igor zeigt in seinem Blog-Eintrag ein gutes Beispiel für Proxy-Authentication.
Vielleicht noch eine Ergänzung dazu:
Continue reading ‘Oracle Proxy Authentication’ »
Ich hatte schon öfters die Anforderung, auf Statement-Ebene Auditing einzuschalten. Also z.B. in einem Logon-Trigger die Umgebung des Users abzuchecken und anhand dessen zu entscheiden, ob Auditing notwendig ist oder nicht.
Oracle sieht dies aber nicht so vor. Es ist nur auf Schema-Ebene definierbar. Viele denken zwar, die Option “BY SESSION” macht dies, aber diese Option bewirkt etwas ganz anderes.
Es ist zwar möglich, über FGA Hacks zu programmieren, aber dies recht komplex – und häufig nicht performant.
Seit Oracle 11g Release 2 ist es nun viel einfacher 
Continue reading ‘Oracle: Auditing auf Statement-Ebene einschalten’ »
