17 Jul 2007 von Alexander Kornbrust.

Wie Eric Maurice von Oracle gerade auf dem Oracle Global Product Security Blog veröffentlicht hat, führt Oracle bei diesen CPU’s (und allen folgenden 10.2.0.4 und 11g) eine Neuigkeit ein, sogenannte “Database Napply CPUs”.

Diese Napply Patches sind in sogenannte Moleküle (molecules) aufgeteilt. Jedes Molekül ist absolut unabhängig voneinander und kann unabhängig installiert werden. Dadurch sind Patchkonflikte einfacher zu lösen.

Eine interessante Idee für alle DBAs die wegen Patchkonflikten keine vollständigen CPUs auf einer Datenbank einspielen können.

Eine Metalink Note zu diesem Thema findet sich hier.

In Zukunft wird unter DBAs wohl eher heissen: “Welche Moleküle hast Du denn installiert?”

Geschrieben in CPUJul2007, Allgemein | Drucken | Keine Kommentare »

17 Jul 2007 von Alexander Kornbrust.

Oracle hat soeben seinen CPU Juli 2007 veröffentlicht. In diesem CPU werden 3 Sicherheitslücken, die Red-Database-Security GmbH gemeldet hat, korrigiert.

Diese Fehler sind 2 SQL Injection Lücken (Apex und dbms_prvtaqis) wird ein kritischer Fehler in Datenbank-Views korrigiert. Der Fehler in den Views, nicht zu verwechseln mit denjenigen, die letztes Jahr im April und Oktober 2006, wurde korrigiert. Dabei kann ein Benutzer mit Lese-Rechten über spezielle zusammengesetzte Views Insert/Update/Delete Statements ausführen ohne die entsprechenden Rechte zu besitzen.

Dabei handelt es sich um ein Problem des Oracle Optimizers (Hallo Trivadis: Bitte auch den Optimizer testen )
Unsere Analyse findet sich wie üblich bei Red-Database-Security.

Geschrieben in Allgemein | Drucken | Keine Kommentare »