5 Tage nach Erscheinen des Critical Patch Updates Juli 2007 wurde auf mehreren Blogs ein Exploit veröffentlicht, der die Sicherheitslücke DB17 (insert/update/delete auf Tabellen mit Nur-Lese-Recht) auf allen Datenbankversionen ausnutzt. Ich möchte dies bewusst nicht tun, da ich dies verantwortungslos finde.

Normalerweise haben DBAs 3 Monate zur Verfügung, um ein CPU einzuspielen, bevor gefundenen Sicherheitslücken veröffentlicht werden.
In grossen Unternehmen sehe ich diese Zeitspanne als richtig und wichtig an, da das Einspielen dringend getestet werden muss. Und wenn hunderte oder sogar tausende Datenbanken gepatcht werden müssen, braucht dies seine Zeit - und sicherlich mehr als 5 Tage.
Ausserdem waren zum Erscheinungstermin des Exploits noch nicht einmal alle Patches für alle Oracle-/Betriebssystemkombinationen verfügbar...

Mit diesem CPU führt Oracle ein ganz neues Konzept ein: sogenannte napply CPUs (sprich N Apply). Dies sind Gruppen von Sub-Patches (sogenannte Molecules), die einzeln installiert werden können. Sollte eine Applikation Probleme mit dem gesamten CPU haben, können dann einzelne, für die Applikation unproblematische Gruppen eingespielt werden. Dadurch wird die Sicherheit verbessert, da nicht einfach der gesamte CPU nicht installiert wird - erzeugt aber wieder mehr Testaufwand...

Verfügbar wird dies für Unix/Linux-Systeme sein und nur für Datenbanken ab Version 10.2.0.3.

Gestern veröffentlichte Oracle das CPU für Juli 2007.

Wie bereits im Pre-Release-Announcement angekündigt, ist der höchste CVSS-Score 4.8 - ist also recht hoch. Im Bereich der Datenbank liegt er bei 4.2.
45 Security-Lücken wurden gefixt, 18 davon in der DB, einschliesslich einer im Bereich APEX.
Zwei Lücken sind von remote ausnutzbar ohne das eine Authentisierung (Username/Passwort) notwendig ist.

Wie schon in meinem Blog-Eintrag beschrieben, wird Oracle in Zukunft nicht mehr für alle Platformen Patches liefern, siehe dazu das Kapitel "Notice of On Request Model for Oracle Database and Oracle Application Server" in dieser Metalink-Note.

Die Patches werden teilweise erst am 24.07. verfügbar sein - wir werden dann wieder intensiv testen und berichten...

Es ist wieder einmal soweit: Oracle hat das "Pre-Release Announcement" für das CPU Juli 2007 veröffentlicht.

Der höchste CVSS-Score liegt bei 4.8 - ist also recht hoch. Im Bereich der Datenbank liegt er bei 4.2 - und dort sind 20 Security-Lücken gefixt wurden, einschliesslich einer im Bereich APEX.
Zwei Lücken sind von remote ausnutzbar ohne das eine Authentisierung (Username/Passwort) notwendig ist.

Und wieder etwas Werbung (für die, die wissen wollen, ob sie das CPU einspielen sollen) :
Der Trivadis CPU Report informiert Sie!

Aus dem Integrigy-Blog finde ich noch zwei Informationen interessant:

• Oracle will nicht mehr proaktiv für alle Plattformen das CPU entwickeln. Plattformen, die weniger nachgefragt sind, werden nur auf Anfrage entwickelt -> sprich es kann dementsprechend lang dauern, bis ein Patch verfügbar ist!
• Ausserdem wird Oracle 10.1.0.4 und 10.2.0.1 nicht mehr unterstützt.

Ein Kollege meldete mir, dass er Probleme mit RMAN hat. Beim Restore kommt folgende Fehlermeldung:

RMAN-20216: backup piece is missing
RMAN-06159: error while looking up backup set

Nach einigem Nachforschen bekamen wir heraus, dass dies durch das Einspielen des CPU vom April 2007 geschieht. Oracle ist dies inzwischen bekannt -> siehe Metalink Note 434527.1. Der Fehler tritt nur unter Windows und Oracle 9.2.0.8 auf - aber auch nach dem CPU Oktober 2006 und Januar 2007.

Mögliche Lösungen:

• Deinstallieren des Patches
• Neuerzeugen des Kontrollfiles
• Einspielen von 9.2.0.8 Patch 8 (Patch 6038279)

Am 19.07. halte ich wieder einmal 2 Vorträge am DOAG Regionaltreffen Stuttgart:

• Critical Patch Update - und Ihre Applikation funktioniert noch?
  Ein Critical Patch ist wichtig für die Security. Aber läuft dann die Datenbank noch?
  Macht die Applikation noch, was von ihr erwartet wird?
  In diesem Vortrag wird eine Methode des automatischen Testens vorgestellt.
  Ausserdem werden die Erfahrungen mit den CPUs präsentiert.
• End-to-End-Tracing live gezeigt
  Grid Control 10.2 verspricht echtes End-to-End-Tracing. Und es funktioniert wirklich.
  Nach der Definition von Applikationen kann man ein Drill-Down vom WebServer
  über Middletier bis zum einzelnen Statement in der Datenbank durchführen.
  Also das, was sich jeder schon gewünscht hat.
  In einer einstündigen Demo werden die Möglichkeiten und Grenzen live gezeigt.

Mehr Informationen - und den Anmeldelink findet ihr auf der DOAG-Seite.

Die Teilnahme ist wie immer kostenlos - aber nicht umsonst

Ein Kollege hat mir berichtet, dass er grössere Probleme beim Einspielen des CPU unter Windows und Oracle 10.2.0.3 hatte. Dort muss vorab ein anderer Patch eingespielt werden (Zeitzonen-Patch), der aber eventuell nicht alle Zeitzonen beinhaltet. Er musste deswegen manuell Zeitzonen anlegen.

Also: Bitte Doku vorab lesen

Anfang Mai bin ich wieder einmal für 3 Tage in Hamburg (Schulung geben).

Während dieser Zeit (am 08.05.) gebe ich auch einen Vortrag auf dem Regionaltreffen der DOAG Hamburg.
Thema: Oracle Critical Patch Update - und Ihre Applikation läuft noch?

Teilnehmer sind recht herzlich eingeladen, die Veranstaltung ist kostenlos - aber nicht umsonst

Interessant ist auch, was mein unumstrittener Oracle-Security Guru Pete Finnigan sagt. Siehe hier

Heute habe ich 2 Vorträge bei dem Regionaltreffen in München gehalten:

• Oracle Critical Patch Update - und Ihre Applikation funktioniert noch? (PDF)
• Oracle Database Vault, damit der DBA den Jahresabschluss nicht vor dem CEO kennt (PDF)

Vielleicht interessiert den einen oder anderen der Inhalt?

Auf jeden Fall wünsche ich ein "Sicheres Oracle"