Transparent Data Encryption wurde mit Oracle 10.2 eingeführt, hatte dort aber einige Einschränkungen: Es konnten nur einzelne Spalten verschlüsselt werden Nicht alle Datentypen konnten verschlüsselt werden (Long, LOB) Während Operationen waren die Daten nicht verschlüsselt, so dass eventuell unverschlüsselte und vertrauliche Daten im TEMP-Tablespace oder im REDO sichtbar waren Ausschliesslich B*Tree Indizes werden unterstützt (keine [...]
Archive of posts tagged Security
DOAG Regionaltreffen NRW: Vortrag Audit Vault
Am 23.10. halte ich zum DOAG-Regionaltreffen in Köln einen Vortrag zum Thema Oracle Audit Vault. Geplant war eigentlich Database Vault, aber aus bekannten Gründen habe ich diesen Vortrag zurückgezogen. Wer sich gerade in der Nähe aufhält, ist recht herzlich eingeladen. Die Veranstaltung ist wie immer kostenlos (aber nicht umsonst), anmelden solltet ihr euch hier.
Oracle Critical Patch Update Pre-Release Announcement – Oktober 2007
Es ist langsam wieder so weit, am 16. Oktober erscheint das nächste CPU. Das Pre-Release Announcement gibt schon mal einige interessante Informationen: 51 Security-Fixes für hunderte Oracle Produkte – wow Oracle ändert seine Risiko-Bewertung auf CVSS 2.0 Scoring Bereich Datenbank: Der höchste CVSS-Wert ist 6.5 (4.2 für das alte CVSS 1.0 scoring) – entspricht also [...]
Security Alert: Oracle Database Vault (2)
Nachdem ich in den Blogs von Markus und Alex zitiert und korrigiert werde, noch eine genauere Darstellung zu dieser Aussage: “Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen” Natürlich ist mir klar, dass Database Vault allein kaum Schutz vor einem OS-Administrator bietet – [...]
Security Alert: Oracle Database Vault
In den letzten beiden Wochen haben wir sehr intensiv Oracle Database Vault getestet. Fazit: Das Konzept ist gut durchdacht. und es sind einige sehr interessante Ideen implementiert. Trotzdem müssen wir Stand heute vom Einsatz abraten. Es sind zu viele Security Lücken vorhanden, die das Lesen und Ändern von vertraulichen Daten als Datenbank- oder Betriebssystemadministrator zulassen [...]
Oracle Internet Directory Light
Laurent Schneider und mein Kollege Dirk Nachbar beschreiben in ihren Blogs, wie einfach es ist, die “Oracle Authentication Services for Operating Systems” zu installieren und zu konfigurieren. Im Prinzip 2 RPMs installieren – und das war’s. Die klingt schon sehr interessant – nicht nur für die Authentifizierung, auch als TNSNAMES-Ersatz (siehe Beispiel von Dirk). Ich [...]
“Dumme Programmierfehler” gefährden Oracle-Anwender
In einem Artikel der Computerwoche wird beschrieben, dass die neue Version von Oracle Database 11g “dumme Programmierfehler” habe. Diese wären durch Schulungen zu vermeiden, da es sich um “simple Sicherheitslecks” handele. Sicherlich hat Alexander Kornbrust damit Recht. Es ist schon unverständlichen, dass Oracle immer wieder in dieselben Probleme hineinläuft. Meiner Meinung nach hätte man aber [...]
Erste Tests mit Oracle 11g
Habe heute abend mal die ersten Versuche mit der Produktionsversion von 11g gemacht. Mein erster Kandidat ist natürlich mein eigenes Tool TvdExpert, da dort hunderte von DataDictionary-Views abgefragt werden. Fazit: Sehr positiv – nur 2 kleine Änderungen waren notwendig, um es wieder lauffähig zu machen: In V$ASM_DISKGROUP gibt es das Feld UNBALANCED nicht mehr In [...]
Oracle Critical Patch Updates und Exploits (Teil 2)
Patchlink hat eine interessante Studie veröffentlicht, nach der 54% der befragten Firmen “Zero-Day Vulnerabilities” als grösstes Sicherheitsrisiko bezeichnen und 29% kritische Updates innerhalb 2 Stunden einspielen. IT managers reacted far quicker to emergency patches this year as compared to last, as 29 percent of organizations deployed critical updates within two hours during 2007 compared to [...]
Oracle Critical Patch Updates und Exploits
5 Tage nach Erscheinen des Critical Patch Updates Juli 2007 wurde auf mehreren Blogs ein Exploit veröffentlicht, der die Sicherheitslücke DB17 (insert/update/delete auf Tabellen mit Nur-Lese-Recht) auf allen Datenbankversionen ausnutzt. Ich möchte dies bewusst nicht tun, da ich dies verantwortungslos finde. Normalerweise haben DBAs 3 Monate zur Verfügung, um ein CPU einzuspielen, bevor gefundenen Sicherheitslücken [...]
English