Archive for Januar, 2008

Erste Exploits für den CPUJan2008 veröffentlicht

Donnerstag, Januar 31st, 2008

Die ersten Exploits, die mit dem Januar 2008 CPU korrigierte Lücken betreffen, sind auf milworm.com veröffentlicht worden.

Alexandr Polyakov von Digital Security veröffentlichte 3 Exploits für die XMLDB. Alexandr hat die Fehler Mitte Dezember 2007 gefunden und an Oracle gemeldet. Da Oracle diese Fehler niemals innerhalb von weniger als einem Monat korrigiert, scheint jemand anderes diese Fehler vorher gefunden haben.

Der Oracle Patch CPU January 2008 ist veröffentlicht…

Dienstag, Januar 15th, 2008

Oracle hat gerade seinen neuesten Oracle Critical Patch Update (CPU) Januar 2008 veröffentlicht. Wie in dem Pre-Release Announcement veröffentlicht, enthält der Patch insgesamt 8 Fehlerkorrekturen für die Datenbank selbst. Wie auch bei den vorherigen Oracle CPUs, sind die üblichen Verdächtigen vertreten (Esteban, Joxean, David, Alex). Zusätzlich sind diesmal einige andere Reporter von Sicherheitslücken wie Pete Finnigan, Mariano Nunez Di Croce, Ali Kumcu und Alexandr Polyakov mit dabei.

Laut einer Email die ich von Oracle secalert erhalten habe, wurde 7 meiner Sicherheitslücken (Tracking Nummer: 6980733, 7520291, 9675443, 9675563, 9675681, 9675695, 9675857) korrigiert. Diese Fehler wurde auf die Fehlernummern DB05, DB04 und DB02 abgebildet.

Das höchste CVSS Rating der Datenbank-Fehler von 6.5 hat der Fehler DB01.

DB02, DB03, DB04 und DB05 sind SQL Injection Lücken, die eine Privilegieneskalation erlauben.

Das höchste Application Server CVSS Rating von 9.3 (von 10) haben 2 Fehler (AS01, AS02) im Oracle Jinitiator 1.1.8.26 und 1.3.1.27. Diese Fehler betreffen lediglich die Clients nicht aber den Server. Bei diesem Fehler handelt es sich um den im letzten August vom US-Cert veröffentlichten Stack Buffer Overflow in ActiveX-Control des Jinitiator.

Weitere Informationen zum aktuellen CPU enthält der Metalink-Eintrag (466757.1). Dort werden einige interessante Einzelheiten beschrieben.

So ist es bei diesem CPU notwendig ALLE Views in allen Datenbanken neu zu kompilieren. Ursache sind die „VIEW“-Probleme, die im Juli/Oktober 2007 korrigiert wurden.

Der Oracle CPU Januar 2008 ist der „Terminal CPU“ für das Patchset 10.1.3.0 und 10.2.0.2, wobei die Patches für 10.2.0.2 erst für den 25-Januar angekündigt sind. Für 10.2.0.2 Windows sind keine Patches geplant. Es gibt nun eine neue Tabelle „Planned Patches for Oracle Database“ im Metalink-Dokument.

Weitere Information zum Januar 2008 CPU, detaillierte Fehleranalysen, … sind in Zusammenarbeit mit Opitz-Consulting im CPU-Review erhältlich.

Sentrigo veröffentlicht Report das 67% der DBA noch nie einen CPU eingespielt haben

Montag, Januar 14th, 2008

Heute hat Sentrigo einen Bericht veröffentlicht, der von einer Umfrage bei (nordamerikanischen) DBAs berichtet. Demzufolge haben lediglich 10% der DBAs den letzten Oracle CPU (Critical Patch Update) eingespielt und ca. 67% der Umfrageteilnehmer haben noch niemals einen CPU eingespielt.

Dies deckt sich auch mit meinen Erfahrungen, dass auf viele Oracle Datenbanken lediglich der aktuelle Patchset eingespielt wird.

Oracle CPU January 2007 Pre-Release Announcement

Freitag, Januar 11th, 2008

Etwas verspätet hat Oracle gestern das Pre-Release Announcement für den Oracle Critical Patch Update veröffentlicht, der nächste Woche Dienstag (15. Januar 2008) veröffentlicht wird.

Insgesamt sollen 27 Fehler in Oracle Produkten korrigiert werden. Es sind die großen Oracle Produkte betroffen (Datenbank, Application Server, Collaboration Suite, E-Business-Suite). Erstmals werden auch Fehlerkorrekturen für Oracle 11g veröffentlicht.

In der Oracle Datenbank werden diesmal „nur“ 8 Fehler korrigiert , von denen keiner remote ausnutzbar ist. Der höchste CVSS Wert in der Datenbank ist diesmal 6.5. Korrigiert werden die Komponente  Advanced Queuing, Core RDBMS, Oracle Agent, Oracle Spatial und XML DB.

Wegen des Fehlers in der Core RDBMS und Advanced Queuing sind alle Datenbanken (sofern die Version betroffen ist).

Mehr zu dem Oracle CPU gibt es nächste Woche bzw. über den Oracle CPU-Review, eine detaillierte Fehleranalyse des Oracle CPUs, den Red-Database-Security zusammen mit Opitz Consulting erstellt.