Oracle hat gestern einen Security-Fix ausserhalb der quartalsweise erscheinenden CPUs veröffentlicht.
Dieser schliesst eine Lücke im im WebLogic Node Manager (CVE-2010-0073), welche remote ohne Authentifizierung ausgeführt werden kann. Der CVSS-Basescore ist 10 – es kann also zum kompletten Verlust der Integrität, Vertraulichkeit und Verfügbarkeit führen!
Deshalb empfiehlt Oracle den Patch sofort einzuspielen.
Mehr Informationen und der Link zum [...]
Archive of posts filed under the CPU category.
Security Alert: Ausserplanmässiger Fix für WebLogic
Status Oracle Security Bugs (Oracle Database Vault)
In the current Oracle Critical Patch Update (April 2009) all our Security Bugs are solved, as well in Oracle Database version 11.1.0.7.
Starting from now, I can recommend Database Vault.
But please read the documentation carefully. Database Vault does not help for all security requirements (e.g. encryption).
Learn more about Database Vault – and which options you need [...]
Oracle Critical Patch Update April 2008 – First Tests
During the last days we have tested the CPU very intensively.
Some information about it:
I recommend applying it, if you use Oracle Application Express (APEX) 3.0. Because on iDefense it is described, how easy a security hole can vulnerable.
You can upgrade to APEX 3.1 too.
This is the first CPU without need for a newer version of [...]
Oracle Critical Patch Update April 2008: Pre-Release Advisory
Here is the first information about the next CPU.
Database:
This CPU contains 17 new security fixes (including 2 for Oracle Application Express)
The highest CVSS base score of vulnerabilities is 6.6. This is regarded as a high risk.
Some very critical components are affected:
Audit
Authentication
Core RDBMS
Data Pump
Export
Oracle Net Services
Query Optimizer
…
This CPU includes fixes for Oracle Database 11g too.
Oracle [...]
Status (3) Security Alert “Oracle Database Vault”
Wir haben das Patchset 10.2.0.4 auf einer Database Vault Datenbank getestet.
Obwohl in der Liste der Bugfixes kein Database Vault Bug erscheint, wurden zwei meiner kritischsten Bugs behoben
Einer ist noch offen – aber dieser ist wesentlich schwieriger (und nur als SYS) auszunutzen.
Da die OS Authentication für SYSDBAs wieder gesperrt ist, kann ich nun den Einsatz [...]
Status (2) Security Alert “Oracle Database Vault”
Nachdem im CPU Januar 2008 unsere gemeldeten Bugs nicht behoben wurden, habe ich heute von Oracle eine neue Antwort bekommen:
Die Bugs sind gefixt in 10.2.0.4 und 11.1.0.7 – und vielleicht auch in einen späteren CPU für ältere Versionen.
Also – warten wir weiter ab…
CPU Januar 2008 – Überraschungen…
Wir sind gerade am intensivem Testen des CPUs. Einige Punkte dazu:
Beim Einspielen des CPU in eine Oracle 10g Datenbank, wird automatisch ohne Abfrage der Oracle Configuration Manager (OCM) installiert:
OPatch will now install the Oracle Configuration Manager in the Oracle Home.
Wer dieses Feature nicht kennt: Damit können automatisch Informationen über die Datenbank, Umgebung, Fehler, … an [...]
Oracle Critical Patch Update Pre-Release Announcement – Januar 2008
Es ist wieder so weit: Die Vorbereitungen für das CPU können starten.
Die ersten Informationen von Oracle sind hier verfügbar.
Ein paar Details dazu:
Dies ist das erste CPU, welches auch Fixes für Oracle 11g beinhaltet
Für Oracle 10g Database Vault finde ich keine Informationen, also scheinen unsere Security-Findings nicht behoben zu sein
Für die Oracle Datenbank gibt [...]
Oracle Critical Patch Update Oktober 2007 auf RAC
Mein Kollege Martin hat einen Rolling Upgrade mit dem aktuellen CPU getestet. Das Einspielen des CPU ging ohne Probleme (wenn der bekannte Bug mit Linux 64bit umgangen wird).
Damit aber die Datenbank die gesamte Zeit online zur Verfügung steht, müssen ein paar Sachen beachtet werden. Siehe dazu seinen interessanten Blog-Eintrag.
Oracle Critical Patch Update Pre-Release Announcement – Oktober 2007
Es ist langsam wieder so weit, am 16. Oktober erscheint das nächste CPU. Das Pre-Release Announcement gibt schon mal einige interessante Informationen:
51 Security-Fixes für hunderte Oracle Produkte – wow
Oracle ändert seine Risiko-Bewertung auf CVSS 2.0 Scoring
Bereich Datenbank:
Der höchste CVSS-Wert ist 6.5 (4.2 für das alte CVSS 1.0 scoring) – entspricht also [...]
English