Ich hatte schon öfters die Anforderung, auf Statement-Ebene Auditing einzuschalten. Also z.B. in einem Logon-Trigger die Umgebung des Users abzuchecken und anhand dessen zu entscheiden, ob Auditing notwendig ist oder nicht.
Oracle sieht dies aber nicht so vor. Es ist nur auf Schema-Ebene definierbar. Viele denken zwar, die Option “BY SESSION” macht dies, aber diese Option [...]
Archive of posts tagged Security
Oracle: Auditing auf Statement-Ebene einschalten
Status Oracle Security Bugs (Oracle Database Vault)
In the current Oracle Critical Patch Update (April 2009) all our Security Bugs are solved, as well in Oracle Database version 11.1.0.7.
Starting from now, I can recommend Database Vault.
But please read the documentation carefully. Database Vault does not help for all security requirements (e.g. encryption).
Learn more about Database Vault – and which options you need [...]
Erste Schweizer Datenbanktage – letzte Chance
Nächste Woche (21.+22.10.) finden die ersten Schweizer Datenbanktage statt – die TrivadisOPEN.
Ich denke, dies ist eine Veranstaltung, die jeden Datenbankprofi interessieren sollte – egal ob Oracle oder Microsoft, egal ob DBA, Entwickler oder Security-Experte.
Ein paar Highlights (für mich natürlich aus dem Oracle-Bereich ):
Carry Millsap: “Millsap’s Grand Unified Theory of ‘Tuning’”
Christian Antognini: “Query Optimizer [...]
Oracle Database 11g Release 1 11.1.0.7 – new features
First chapter in the Patch Set Notes:
…
Patch sets provide bug fixes only; they do not include new functionality and they do not require certification on the target system.
…
This is so not true
There is at least one new feature: a new package called DBMS_AUDIT_MGMT.
This should be mainly used with Oracle Audit Vault. But [...]
Oracle Audit Vault 10.2.3
A new Audit Vault version is ready for download (for Linux, Solaris, AIX and HP Itanium) . Maybe some bugs are fixed…
I will test it
Oracle Critical Patch Update April 2008 – First Tests
During the last days we have tested the CPU very intensively.
Some information about it:
I recommend applying it, if you use Oracle Application Express (APEX) 3.0. Because on iDefense it is described, how easy a security hole can vulnerable.
You can upgrade to APEX 3.1 too.
This is the first CPU without need for a newer version of [...]
Oracle Database Vault 10g Release 2 (10.2.0.4.0)
After the x86-Linux and the 32-bit Windows version now the x84-64bit Linux version is ready for download.
For more information see here.
Oracle Critical Patch Update April 2008: Pre-Release Advisory
Here is the first information about the next CPU.
Database:
This CPU contains 17 new security fixes (including 2 for Oracle Application Express)
The highest CVSS base score of vulnerabilities is 6.6. This is regarded as a high risk.
Some very critical components are affected:
Audit
Authentication
Core RDBMS
Data Pump
Export
Oracle Net Services
Query Optimizer
…
This CPU includes fixes for Oracle Database 11g too.
Oracle [...]
Status (3) Security Alert “Oracle Database Vault”
Wir haben das Patchset 10.2.0.4 auf einer Database Vault Datenbank getestet.
Obwohl in der Liste der Bugfixes kein Database Vault Bug erscheint, wurden zwei meiner kritischsten Bugs behoben
Einer ist noch offen – aber dieser ist wesentlich schwieriger (und nur als SYS) auszunutzen.
Da die OS Authentication für SYSDBAs wieder gesperrt ist, kann ich nun den Einsatz [...]
Status (2) Security Alert “Oracle Database Vault”
Nachdem im CPU Januar 2008 unsere gemeldeten Bugs nicht behoben wurden, habe ich heute von Oracle eine neue Antwort bekommen:
Die Bugs sind gefixt in 10.2.0.4 und 11.1.0.7 – und vielleicht auch in einen späteren CPU für ältere Versionen.
Also – warten wir weiter ab…
English