In the current Oracle Critical Patch Update (April 2009) all our Security Bugs are solved, as well in Oracle Database version 11.1.0.7. Starting from now, I can recommend Database Vault. But please read the documentation carefully. Database Vault does not help for all security requirements (e.g. encryption). Learn more about Database Vault – and which [...]
Archive of posts tagged Alert
Status (3) Security Alert “Oracle Database Vault”
Wir haben das Patchset 10.2.0.4 auf einer Database Vault Datenbank getestet. Obwohl in der Liste der Bugfixes kein Database Vault Bug erscheint, wurden zwei meiner kritischsten Bugs behoben Einer ist noch offen – aber dieser ist wesentlich schwieriger (und nur als SYS) auszunutzen. Da die OS Authentication für SYSDBAs wieder gesperrt ist, kann ich nun [...]
Status (2) Security Alert “Oracle Database Vault”
Nachdem im CPU Januar 2008 unsere gemeldeten Bugs nicht behoben wurden, habe ich heute von Oracle eine neue Antwort bekommen: Die Bugs sind gefixt in 10.2.0.4 und 11.1.0.7 – und vielleicht auch in einen späteren CPU für ältere Versionen. Also – warten wir weiter ab…
Status Security Alert “Oracle Database Vault”
Ein kurzes Update zu unserem Security Alert: Oracle informierte uns, dass drei unserer kritischsten Security Holes im Main Code behoben sind. Die Fixes sollen im nächsten CPU (Januar 2008) enthalten sein. Wir bemühen uns, einen Vorab-Patch zu bekommen für die Kunden, die Database Vault schon produktiv im Einsatz haben. Andere Probleme sind noch “Under investigation”.
Security Alert: Oracle Database Vault (2)
Nachdem ich in den Blogs von Markus und Alex zitiert und korrigiert werde, noch eine genauere Darstellung zu dieser Aussage: “Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen” Natürlich ist mir klar, dass Database Vault allein kaum Schutz vor einem OS-Administrator bietet – [...]
Security Alert: Oracle Database Vault
In den letzten beiden Wochen haben wir sehr intensiv Oracle Database Vault getestet. Fazit: Das Konzept ist gut durchdacht. und es sind einige sehr interessante Ideen implementiert. Trotzdem müssen wir Stand heute vom Einsatz abraten. Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen [...]
English