Posted by Sven Vetter on 24th April 2008
After the x86-Linux and the 32-bit Windows version now the x84-64bit Linux version is ready for download.
For more information see here.
Posted in Oracle, Security, TrivadisContent | No Comments »
Posted by Sven Vetter on 28th February 2008
Wir haben das Patchset 10.2.0.4 auf einer Database Vault Datenbank getestet.
Obwohl in der Liste der Bugfixes kein Database Vault Bug erscheint, wurden zwei meiner kritischsten Bugs behoben 
Einer ist noch offen - aber dieser ist wesentlich schwieriger (und nur als SYS) auszunutzen.
Da die OS Authentication für SYSDBAs wieder gesperrt ist, kann ich nun den Einsatz von Database Vault mit dem Patchset 10.2.0.4 empfehlen.
Trotzdem braucht es viel Datenbank- und Security-Wissen, um eine sichere Installation zu gewährleisten...
Posted in CPU, Oracle, Security, Security Alerts, TrivadisContent | No Comments »
Posted by Sven Vetter on 24th February 2008
Der Download (immerhin 1GB!!) läuft im Moment. Im README steht nichts aussergewöhnliches, ausser dass auch Bugs in Database Vault behoben wurden...
Über die Gerüchte, dass "Real Application Testing" nun auch mit 10g gehen soll, habe ich noch nichts gefunden 
Posted in Oracle, TrivadisContent | 8 Comments »
Posted by Sven Vetter on 31st January 2008
Nachdem im CPU Januar 2008 unsere gemeldeten Bugs nicht behoben wurden, habe ich heute von Oracle eine neue Antwort bekommen:
Die Bugs sind gefixt in 10.2.0.4 und 11.1.0.7 - und vielleicht auch in einen späteren CPU für ältere Versionen.
Also - warten wir weiter ab...
Posted in CPU, Oracle, Security, Security Alerts, TrivadisContent | No Comments »
Posted by Sven Vetter on 30th January 2008
Wir sind gerade am intensivem Testen des CPUs. Einige Punkte dazu:
OPatch will now install the Oracle Configuration Manager in the Oracle Home.
Wer dieses Feature nicht kennt: Damit können automatisch Informationen über die Datenbank, Umgebung, Fehler, ... an Oracle Support übermittelt werden...
Zum Glück passiert dies jetzt nicht automatisch für alle Datenbanken - OCM muss dafür zuerst konfiguriert werden - und dies wird schon noch abgefragt:
Do you wish to configure OCM at this time? (y/n)
Posted in CPU, Oracle, Security, TrivadisContent | 1 Comment »
Posted by Sven Vetter on 26th October 2007
Ein kurzes Update zu unserem Security Alert:
Oracle informierte uns, dass drei unserer kritischsten Security Holes im Main Code behoben sind. Die Fixes sollen im nächsten CPU (Januar 2008) enthalten sein.
Wir bemühen uns, einen Vorab-Patch zu bekommen für die Kunden, die Database Vault schon produktiv im Einsatz haben.
Andere Probleme sind noch "Under investigation".
Posted in Oracle, Security, Security Alerts, TrivadisContent | No Comments »
Posted by Sven Vetter on 5th October 2007
Nachdem ich in den Blogs von Markus und Alex zitiert und korrigiert werde, noch eine genauere Darstellung zu dieser Aussage:
"Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen"
Natürlich ist mir klar, dass Database Vault allein kaum Schutz vor einem OS-Administrator bietet - und das verkauft Oracle auch nicht so.
Aber Database Vault soll dabei unterstützen. Z.B. ist per Default keine Anmeldung als SYSDBA und (je nach Version und Patchlevel ) keine OS authentication (also ein "connect / as sysdba") mehr möglich, also auch root/oracle müssen sich mit Usernamen und Passwort anmelden.
Dies darf aber nicht als alleiniger Schutz benutzt werden, da der Software-Owner Database Vault ausschalten kann (auch hier gibt es ein paar Security-Holes). Ausserdem kann er die Anmeldung als SYSDBA wieder zulassen. Beides kann aber wiederum auf OS-Ebene überwacht werden.
Auch aus meiner Sicht ist sehr viel Wissen notwendig, um dieses Produkt sicher einzuführen.
Posted in Oracle, Security, Security Alerts, TrivadisContent | No Comments »
Posted by Sven Vetter on 3rd October 2007
In den letzten beiden Wochen haben wir sehr intensiv Oracle Database Vault getestet.
Fazit:
Das Konzept ist gut durchdacht. und es sind einige sehr interessante Ideen implementiert.
Trotzdem müssen wir Stand heute vom Einsatz abraten. Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen - genau das aber verspricht dieses Produkt zu unterbinden.
So gelingt es z.B. per dynamischen SQL sehr einfach - in 3 unterschiedlichen Varianten - Zugriff auf per Realm geschützte Daten zu erlangen.
Diverse Servicerequests sind offen, secalert ist ebenfalls informiert, wir sind hier in sehr engem Kontakt mit Oracle.
Wir werden wieder berichten, sobald Database Vault aus unsere Sicht Produktionsreife erlangt hat.
Posted in Oracle, Security, Security Alerts, TrivadisContent | 3 Comments »
Posted by Sven Vetter on 4th July 2007
TECCANNEL berichtet in seinem Feed:
Der Innentäter ist bekanntlich das größte Übel: In den USA ist jetzt ein Datenbank-Administrator aufgeflogen, der Informationen über Millionen Kunden kopiert und verkauft hat.
...
Also doch ein Fall für Oracle Database Vault?
Posted in Oracle, Security, TrivadisContent | 1 Comment »
Posted by Sven Vetter on 18th April 2007
Heute habe ich 2 Vorträge bei dem Regionaltreffen in München gehalten:
Vielleicht interessiert den einen oder anderen der Inhalt?
Auf jeden Fall wünsche ich ein "Sicheres Oracle"
Posted in CPU, Oracle, Security | No Comments »