Oracle hat gestern einen Security-Fix ausserhalb der quartalsweise erscheinenden CPUs veröffentlicht.
Dieser schliesst eine Lücke im im WebLogic Node Manager (CVE-2010-0073), welche remote ohne Authentifizierung ausgeführt werden kann. Der CVSS-Basescore ist 10 – es kann also zum kompletten Verlust der Integrität, Vertraulichkeit und Verfügbarkeit führen!
Deshalb empfiehlt Oracle den Patch sofort einzuspielen.
Mehr Informationen und der Link zum [...]
Archive of posts filed under the Oracle category.
Security Alert: Ausserplanmässiger Fix für WebLogic
Frohe Weihnachten
Ich wünsche allen Kunden, Kollegen, Bekannten, Freunden, … schöne Weihnachten, einen guten Rutsch und ein erfolgreiches 2010.
Nachlese DOAG Regio
Ich möchte gern noch einen Nachtrag zu der DOAG-Regio-Veranstaltung schreiben – und euch um eure Meinung bitten.
Folien für DOAG-Vortrag sind zum Download bereit
Die PPTs für meinen DOAG-Regio-Vortrag “Neue Security Features in Oracle 11g” können hier geladen werden.
External Tables, Scripts und Security-Risiken
Als dritter Teil meiner kleinen Blogreihe über das neue External Table Feature (Scriptausführung per PREPROCESSOR) noch ein paar Worte über Security 
Was ist hierbei das hauptsächliche Security-Risiko?
External Tables und Database Vault
Ein kleiner Nachtrag zu meinem Eintrag über External Tables:
Die Ausführung von Scripten (also die Option PREPROCESSOR) funktioniert nicht mit Oracle Database Vault.
External Tables in Oracle – und der “ls” Befehl
In diesem Blogeintrag beschreibt Ulrike Schwinn von Oracle sehr gut, wie man External Tables benutzt – und vor allem das neue 11g-Feature. Damit ist es möglich, vor dem Lesen der Datei Scripte auszuführen, um z.B. die Datei erst einmal zu entpacken (oder auch per scp/ftp irgendwo abzuholen).
Aber damit kann wesentlich mehr erreicht werden. Unter anderem ist dies eine Möglichkeit, Verzeichnisinhalte auszulesen. Bis jetzt war das eine der Aufgaben, die rein mit PL/SQL nicht gelöst werden konnten – man musste auf Java Stored Procedures ausweichen.
Vortrag am “DOAG Regionaltreffen Südbayern/München”
Am 09.12.2009 halte ich wieder mal einen Vortrag an einem DOAG-Regionaltreffen. Das Thema sind die neuen Security Features in Oracle 11g (Release 1 und 2) sowie eine Bewertung dieser Neuerungen (Vorteile, Nachteile, Risiken).
Einen zweiten interessanten Vortrag hält mein Kollege Michael Schellin über “Sicheres Testdatenmanagement – Oracle Datamasking Best Practices”.
Mehr Infos findet ihr auf der DOAG-Seite.
Ich [...]
Oracle Proxy Authentication
Igor zeigt in seinem Blog-Eintrag ein gutes Beispiel für Proxy-Authentication.
Vielleicht noch eine Ergänzung dazu
Oracle: Auditing auf Statement-Ebene einschalten
Ich hatte schon öfters die Anforderung, auf Statement-Ebene Auditing einzuschalten. Also z.B. in einem Logon-Trigger die Umgebung des Users abzuchecken und anhand dessen zu entscheiden, ob Auditing notwendig ist oder nicht.
Oracle sieht dies aber nicht so vor. Es ist nur auf Schema-Ebene definierbar. Viele denken zwar, die Option “BY SESSION” macht dies, aber diese Option [...]
English