Patchlink hat eine interessante Studie veröffentlicht, nach der 54% der befragten Firmen “Zero-Day Vulnerabilities” als grösstes Sicherheitsrisiko bezeichnen und 29% kritische Updates innerhalb 2 Stunden einspielen.
IT managers reacted far quicker to emergency patches this year as compared to last, as 29 percent of organizations deployed critical updates within two hours during 2007 compared to [...]
Archive of posts tagged CPU
Oracle Critical Patch Updates und Exploits (Teil 2)
Oracle Critical Patch Updates und Exploits
5 Tage nach Erscheinen des Critical Patch Updates Juli 2007 wurde auf mehreren Blogs ein Exploit veröffentlicht, der die Sicherheitslücke DB17 (insert/update/delete auf Tabellen mit Nur-Lese-Recht) auf allen Datenbankversionen ausnutzt. Ich möchte dies bewusst nicht tun, da ich dies verantwortungslos finde.
Normalerweise haben DBAs 3 Monate zur Verfügung, um ein CPU einzuspielen, bevor gefundenen Sicherheitslücken veröffentlicht [...]
Oracle Critical Patch Update Juli 2007 (2)
Mit diesem CPU führt Oracle ein ganz neues Konzept ein: sogenannte napply CPUs (sprich N Apply). Dies sind Gruppen von Sub-Patches (sogenannte Molecules), die einzeln installiert werden können. Sollte eine Applikation Probleme mit dem gesamten CPU haben, können dann einzelne, für die Applikation unproblematische Gruppen eingespielt werden. Dadurch wird die Sicherheit verbessert, da nicht [...]
Oracle Critical Patch Update Juli 2007 (1)
Gestern veröffentlichte Oracle das CPU für Juli 2007.
Wie bereits im Pre-Release-Announcement angekündigt, ist der höchste CVSS-Score 4.8 – ist also recht hoch. Im Bereich der Datenbank liegt er bei 4.2.
45 Security-Lücken wurden gefixt, 18 davon in der DB, einschliesslich einer im Bereich APEX.
Zwei Lücken sind von remote ausnutzbar ohne das eine Authentisierung (Username/Passwort) notwendig ist.
Wie [...]
Oracle Critical Patch Update Pre-Release Announcement – Juli 2007
Es ist wieder einmal soweit: Oracle hat das “Pre-Release Announcement” für das CPU Juli 2007 veröffentlicht.
Der höchste CVSS-Score liegt bei 4.8 – ist also recht hoch. Im Bereich der Datenbank liegt er bei 4.2 – und dort sind 20 Security-Lücken gefixt wurden, einschliesslich einer im Bereich APEX.
Zwei Lücken sind von remote ausnutzbar ohne das [...]
RMAN-Fehler nach einspielen des CPUs
Ein Kollege meldete mir, dass er Probleme mit RMAN hat. Beim Restore kommt folgende Fehlermeldung:
RMAN-20216: backup piece is missing
RMAN-06159: error while looking up backup set
Nach einigem Nachforschen bekamen wir heraus, dass dies durch das Einspielen des CPU vom April 2007 geschieht. Oracle ist dies inzwischen bekannt -> siehe Metalink Note 434527.1. Der [...]
DOAG Regionaltreffen Stuttgart
Am 19.07. halte ich wieder einmal 2 Vorträge am DOAG Regionaltreffen Stuttgart:
Critical Patch Update – und Ihre Applikation funktioniert noch?
Ein Critical Patch ist wichtig für die Security. Aber läuft dann die Datenbank noch?
Macht die Applikation noch, was von ihr erwartet wird?
In diesem Vortrag wird eine Methode des automatischen Testens vorgestellt.
Ausserdem werden die Erfahrungen mit den [...]
Oracle Critical Patch Update April 2007 (3)
Ein Kollege hat mir berichtet, dass er grössere Probleme beim Einspielen des CPU unter Windows und Oracle 10.2.0.3 hatte. Dort muss vorab ein anderer Patch eingespielt werden (Zeitzonen-Patch), der aber eventuell nicht alle Zeitzonen beinhaltet. Er musste deswegen manuell Zeitzonen anlegen.
Also: Bitte Doku vorab lesen
DOAG Regionaltreffen Hamburg
Anfang Mai bin ich wieder einmal für 3 Tage in Hamburg (Schulung geben).
Während dieser Zeit (am 08.05.) gebe ich auch einen Vortrag auf dem Regionaltreffen der DOAG Hamburg.
Thema: Oracle Critical Patch Update – und Ihre Applikation läuft noch?
Teilnehmer sind recht herzlich eingeladen, die Veranstaltung ist kostenlos – aber nicht umsonst
Oracle Critical Patch Update April 2007 (2)
Interessant ist auch, was mein unumstrittener Oracle-Security Guru Pete Finnigan sagt. Siehe hier
English