Posted by Sven Vetter on 3rd March 2008
After Laurent wrote in his blog , that the update exam for the OCP 11g is available from the 18/02/2008, I want to try it. OK – I didn’t do this on the first day, but the 03.03. is not so late…
Today in the morning I took the exam and I passed the test.
Some comments to it:
- For me the exam was difficult, I found other update exams easier
- The questions were sometimes very deep
- There are nearly no questions about the GUI (Oracle Enterprise Manager)
- I think, I have become quite used to Oracle 11g (a lot of testing, writing course materials, teaching 6 courses, quite reliable preparation). But I found nearly no questions with an immediate and clear answer...
- There were more questions as before (now 85, during the New Features 10g exams there were only 60) -> see here
- To pass, 61% correct answers are enough
(10g = 73%)
- It is recommended to have a really correct look at the exam topics – and to learn just below them, including any PL / SQL calls and default parameters!
Also - viel Erfolg bei der Prüfung
!
Posted in 11g, Oracle, Training, TrivadisContent | 8 Comments »
Posted by Sven Vetter on 24th February 2008
Entgegen meinem ersten Artikel (und dem Kommentar meines Kollegen Chris zu diesem Artikel
) ist Real Application Testing doch in 10.2.0.4 verfügbar:

Ein paar Bemerkungen aber dazu:
Und das Wichtigste: Die gesammelten Daten können problemlos auf einer 11g-Datenbank abgespielt werden
!
Also - erfolgreiche Tests!
Posted in OEM, Oracle, TrivadisContent | 1 Comment »
Posted by Sven Vetter on 11th January 2008
Es ist wieder so weit: Die Vorbereitungen für das CPU können starten.
Die ersten Informationen von Oracle sind hier verfügbar.
Ein paar Details dazu:
- Dies ist das erste CPU, welches auch Fixes für Oracle 11g beinhaltet
- Für Oracle 10g Database Vault finde ich keine Informationen, also scheinen unsere Security-Findings nicht behoben zu sein
- Für die Oracle Datenbank gibt es 8 neue Security Fixes, von denen keiner remote ohne Authentication ausnutzbar ist
Mit einem CVSS-Score von 6.5 ist das Risiko aber sehr hoch
- Für den Application Server gibt es 6 neue Security Fixes.
Mit einem CVSS-Score von 9.3 für Clients und 6.8 für Server ist das Risiko hier sehr hoch
Probleme können Anwender von Oracle-Versionen bekommen, die nicht das aktuelle Patchset einsetzen. So wird z.B. für Oracle Database 10.2.0.2 für Windows und Solaris kein Patch erscheinen oder dieser speziell angefordert werden müssen.
Siehe dazu das Kapitel "Planned Patches for Next CPU Release" im README des Oktober-CPUs.
Wie immer - wir werden das CPU testen und darüber berichten.
Posted in CPU, Oracle, Security, TrivadisContent | 1 Comment »
Posted by Sven Vetter on 17th December 2007
Ausser angepassten Passwort-Profilen (siehe diesen Artikel) gehören noch weitere Änderungen am Default-Verhalten zu Oracles Initiative "Secure by Default".
So ist jetzt standardmässig Auditing eingeschaltet für folgende Operationen (Auszug aus der Oracle-Dokumentation):

Auch diese Massnahme ist aus Security-Sicht gut.
Aber für viele Firmen ist Auditing in der Datenbank etwas neues - etwas mit dem sie sich deshalb nicht beschäftigen wollen.
Read the rest of this entry »
Posted in 11g, Oracle, Security, TrivadisContent | No Comments »
Posted by Sven Vetter on 17th December 2007
Neben der Vorstellung der zwei Komponenten "Database Replay" und "SQL Performance Analyzer" in meinem Blog habe ich dazu auch noch einen etwas ausführlicheren Artikel geschrieben.
Download: www.trivadis.com -> Know-how-Center -> Publikationen
Oder direkt hier.
Posted in 11g, OEM, Oracle, TrivadisContent, Tuning | 1 Comment »
Posted by Sven Vetter on 8th December 2007
"Secure by Default" nennt Oracle eine neue Initiative, durch die Oracle Database 11g out-of-the-box sicherer ist als eine vergleichbare 10g-Installation.
Dazu gehört u.a. auch "Fine-Grained Access für Netzwerk-Callouts", worüber ich hier schon berichtete.
Ausserdem wird beim Anlegen der Datenbank mit dem DBCA abgefragt, ob die "Enhanced default security settings" eingeschaltet werden sollen:

Wird diese Frage mit "Keep" beantwortet, wird das Default-Profile angepasst und der Wert PASSWORD_LIFE_TIME auf 180 (Tage) gesetzt. Das bedeutet, dass alle Benutzer nach 180 Tagen ihr Passwort ändern müssen.
Aus Security-Sicht ist das sicherlich gut (der Wert sollte eventuell sogar kleiner sein). Aber was machen dann alle Batchprogramme, Scripts, Programme mit fest kodierten Passwörtern (Application Server), ...? Abstürzen 
Ich jedenfalls habe noch kein Programm gesehen, was in der Lage war, die Aufforderung zu erkennen und das Passwort selbständig zu ändern.
Deswegen - daran denken:
Vor dem Ablauf der 180 Tage ein spezielles Profile anlegen, im diesem PASSWORD_LIFE_TIME auf UNLIMITED setzen und (nur) den Benutzern zuteilen, die ihr Passwort nicht ändern können/sollen.
Übrigens, auch wenn Sie Ihre DB mit eigenen Scripts angelegen, gilt dieses Verhalten. Durch catproc.sql wird nämlich neu das Script secconf.sql ausgeführt...
Posted in 11g, Oracle, Security | 1 Comment »
Posted by Sven Vetter on 18th November 2007
Tanel Poder beschreibt in seinem Blog-Eintrag "Your read only accounts aren’t that read only", dass Benutzer mit ausschliesslich Select-Rechten Tabellen locken können. Damit besteht die Gefahr, dass diese Benutzer Applikationen komplett lahmlegen können. Tanel liefert auch einen (mühsamen) Workaround.
Durch diesen Bericht bin ich wieder einmal auf die Idee gekommen, zu testen, ob sich im "Readonly-Verhalten" von Oracle etwas geändert hat.
Read the rest of this entry »
Posted in 11g, Oracle, Security | No Comments »
Posted by Sven Vetter on 12th November 2007
Drei Monate nach Erscheinen von Oracle 11 für Linux (32bit) ist die neue Version nun für alle Hauptplattformen verfügbar:
- Microsoft Windows (32-bit)
- Microsoft Windows (x64)
- Linux x86
- Linux x86-64
- Solaris (SPARC) (64-bit)
- AIX (PPC64)
- HP-UX Itanium
Download wie immer im Technet.
Posted in 11g, Oracle, TrivadisContent | No Comments »
Posted by Sven Vetter on 9th November 2007
Hat ein Benutzer EXECUTE-Rechte auf eines der folgenden Packages, kann er (bis Oracle 10g) Informationen an beliebige Hosts schicken:
- UTL_TCP
- UTL_SMTP
- UTL_MAIL
- UTL_HTTP
- UTL_INADDR
Mit Oracle 11g ist dies nicht mehr der Fall. Per Default hat kein Benutzer (ausser SYS) die Möglichkeit, mit diesen Packages externe Rechner zu erreichen.
Mit dem neuen Package DBMS_NETWORK_ACL_ADMIN können nun Access Control Listen erzeugt werden, mit denen definiert wird, wer an welchen Host Callouts durchführen kann.
Dies hat aber einige Auswirkungen...
Read the rest of this entry »
Posted in 11g, Oracle, Security, TrivadisContent | 1 Comment »
Posted by Sven Vetter on 4th November 2007
Nach der Migration einer 10g-Datenbank nach 11g wurden bei mir auf einmal (ohne Parameteränderung) die Archivelogs gespiegelt.
log_archive_dest_n ist nicht gesetzt, damit wird (richtig) in db_recovery_file_dest (also in die Flash Recovery Area - FRA) archiviert - aber zusätzlich auch noch in $ORACLE_HOME/dbs!!
Im alert.log steht's:
Using LOG_ARCHIVE_DEST_1 parameter default value as /u00/app/oracle/product/11.1.0/dbs/arch
Using LOG_ARCHIVE_DEST_10 parameter default value as USE_DB_RECOVERY_FILE_DEST
Ist das nun Absicht? In der Dokumentation haben wir jedenfalls nichts darüber gefunden.
Zwei Tipps kamen von meinen Kollegen:
Sollte man unbedingt beachten, damit nicht sehr schnell das ORACLE_HOME voll läuft...
Posted in 11g, Oracle, TrivadisContent | No Comments »