Kommendes Oracle Patchset 10.2.0.4

12 Sep 2007 von Alexander Kornbrust.

Im heutigen Oracle Security Training habe ich bei der Übung “Oracle Metalink Hacking” die ersten Informationen zum Oracle Patchset 10.2.0.4  (erfordert Metalink-Account) gefunden. Wie üblich beschreibt Oracle vorab, welche Fehler im kommenden Patchset 10.2.0.4 korrigiert werden.

Beim Lesen der Fehlerliste wurde mir ein wenig unwohl. Zwar wusste ich, dass es ab und zu bei Abfragen in Oracle falsche Ergebnisse gibt (speziell bei Outer-Join-Syntax, daran laboriert Oracle seit Jahren), aber die Liste der Fehlerkorrekturen “Wrong Results” ist mit 80 schon recht beeindruckend.

80 Fehler “Wrong Results”:
z.B. Wrong Results with with count() and IS NULL, Wrong results from CONNECT BY query, wrong results (no rows) from ANSI outer join, Wrong results using more than one OLS policy on a table, ….

Im Patchset sind auch einige Fehler mit “Security-Potential” sind darunter. Vielleicht geht es aber auch nur mir so, dass mich Fehler wie

FGA records are not written for view on remote table (5860927),  Wrong results from V$XML_AUDIT_TRAIL (4596532), Dump in HS with very long TNS connect string (4767996),   Spin using UTL_TCP / UTL_HTTP (4686467), …

beunruhigen.

Geschrieben in 10.2.0.4, Oracle Security | Drucken | Keine Kommentare »