Here is the first information about the next CPU. Database: This CPU contains 17 new security fixes (including 2 for Oracle Application Express) The highest CVSS base score of vulnerabilities is 6.6. This is regarded as a high risk. Some very critical components are affected: Audit Authentication Core RDBMS Data Pump Export Oracle Net Services [...]
Archive of posts tagged Security
Status (3) Security Alert “Oracle Database Vault”
Wir haben das Patchset 10.2.0.4 auf einer Database Vault Datenbank getestet. Obwohl in der Liste der Bugfixes kein Database Vault Bug erscheint, wurden zwei meiner kritischsten Bugs behoben Einer ist noch offen – aber dieser ist wesentlich schwieriger (und nur als SYS) auszunutzen. Da die OS Authentication für SYSDBAs wieder gesperrt ist, kann ich nun [...]
Status (2) Security Alert “Oracle Database Vault”
Nachdem im CPU Januar 2008 unsere gemeldeten Bugs nicht behoben wurden, habe ich heute von Oracle eine neue Antwort bekommen: Die Bugs sind gefixt in 10.2.0.4 und 11.1.0.7 – und vielleicht auch in einen späteren CPU für ältere Versionen. Also – warten wir weiter ab…
Oracle Critical Patch Update Pre-Release Announcement – Januar 2008
Es ist wieder so weit: Die Vorbereitungen für das CPU können starten. Die ersten Informationen von Oracle sind hier verfügbar. Ein paar Details dazu: Dies ist das erste CPU, welches auch Fixes für Oracle 11g beinhaltet Für Oracle 10g Database Vault finde ich keine Informationen, also scheinen unsere Security-Findings nicht behoben zu sein Für die [...]
New Features Oracle 11g: Und Ihre DB wächst und wächst und …
Ausser angepassten Passwort-Profilen (siehe diesen Artikel) gehören noch weitere Änderungen am Default-Verhalten zu Oracles Initiative “Secure by Default”. So ist jetzt standardmässig Auditing eingeschaltet für folgende Operationen (Auszug aus der Oracle-Dokumentation): Auch diese Massnahme ist aus Security-Sicht gut. Aber für viele Firmen ist Auditing in der Datenbank etwas neues – etwas mit dem sie sich [...]
New Features Oracle 11g: Was machen Ihre Applikationen nach 180 Tagen?
“Secure by Default” nennt Oracle eine neue Initiative, durch die Oracle Database 11g out-of-the-box sicherer ist als eine vergleichbare 10g-Installation. Dazu gehört u.a. auch “Fine-Grained Access für Netzwerk-Callouts”, worüber ich hier schon berichtete. Ausserdem wird beim Anlegen der Datenbank mit dem DBCA abgefragt, ob die “Enhanced default security settings” eingeschaltet werden sollen: Wird diese Frage [...]
Oracle: Readonly != Readonly ??
Tanel Poder beschreibt in seinem Blog-Eintrag “Your read only accounts aren’t that read only”, dass Benutzer mit ausschliesslich Select-Rechten Tabellen locken können. Damit besteht die Gefahr, dass diese Benutzer Applikationen komplett lahmlegen können. Tanel liefert auch einen (mühsamen) Workaround. Durch diesen Bericht bin ich wieder einmal auf die Idee gekommen, zu testen, ob sich im [...]
New Features Oracle 11g: Fine-Grained Access für Netzwerk-Callouts
Hat ein Benutzer EXECUTE-Rechte auf eines der folgenden Packages, kann er (bis Oracle 10g) Informationen an beliebige Hosts schicken: UTL_TCP UTL_SMTP UTL_MAIL UTL_HTTP UTL_INADDR Mit Oracle 11g ist dies nicht mehr der Fall. Per Default hat kein Benutzer (ausser SYS) die Möglichkeit, mit diesen Packages externe Rechner zu erreichen. Mit dem neuen Package DBMS_NETWORK_ACL_ADMIN können [...]
Oracle Critical Patch Update Oktober 2007 auf RAC
Mein Kollege Martin hat einen Rolling Upgrade mit dem aktuellen CPU getestet. Das Einspielen des CPU ging ohne Probleme (wenn der bekannte Bug mit Linux 64bit umgangen wird). Damit aber die Datenbank die gesamte Zeit online zur Verfügung steht, müssen ein paar Sachen beachtet werden. Siehe dazu seinen interessanten Blog-Eintrag.
Status Security Alert “Oracle Database Vault”
Ein kurzes Update zu unserem Security Alert: Oracle informierte uns, dass drei unserer kritischsten Security Holes im Main Code behoben sind. Die Fixes sollen im nächsten CPU (Januar 2008) enthalten sein. Wir bemühen uns, einen Vorab-Patch zu bekommen für die Kunden, die Database Vault schon produktiv im Einsatz haben. Andere Probleme sind noch “Under investigation”.
English