Sie befinden sich aktuell in den Alexander Kornbrust Oracle Security Blog dt. Blog-Archiven für den folgenden Tag 15 Jan 2008.
- 10.2.0.4 (1)
- 11g (5)
- Allgemein (27)
- Auditing (1)
- Backdoor (2)
- Bücher (1)
- checkpwd (2)
- CPUApr2007 (1)
- CPUApr2008 (1)
- CPUJan2008 (3)
- CPUJul2007 (3)
- CPUJul2008 (1)
- CPUOct2007 (3)
- Database Vault (3)
- DOAG (2)
- Exploit (4)
- Forensik (1)
- Hedgehog (3)
- Inguma (1)
- Oracle (3)
- Oracle Security (25)
- Präsentation (3)
- rootkit (1)
- Security (6)
- Sentrigo (4)
- software (4)
- 18 Nov 2011: DOAG 2011 Präsentation "Best of Oracle Security 2011"
- 13 Apr 2011: Blackhat Training "Hacking and Securing Oracle (2 days)"
- 23 Mrz 2011: McAfee übernimmt Sentrigo
- 9 Apr 2010: DOAG Berliner Expertenseminare: Oracle Hardening & Patching / Auditing & Co.
- 1 Mrz 2010: Sentrigo stellt den neuen Security Scanner Repscan 3.0 vor
- 21 Jan 2009: Webinar - Best Practices for Database Security
- 15 Jan 2009: Buchvorstellung: Oracle Survival Guide
- 24 Dez 2008: Frohe Weihnachten & ein gutes neues Jahr
- 14 Dez 2008: Datenklau bei Berliner Landesbank
- 3 Dez 2008: DOAG 2008
Archive für 15 Jan 2008
Der Oracle Patch CPU January 2008 ist veröffentlicht…
15 Jan 2008 von Alexander Kornbrust.
Oracle hat gerade seinen neuesten Oracle Critical Patch Update (CPU) Januar 2008 veröffentlicht. Wie in dem Pre-Release Announcement veröffentlicht, enthält der Patch insgesamt 8 Fehlerkorrekturen für die Datenbank selbst. Wie auch bei den vorherigen Oracle CPUs, sind die üblichen Verdächtigen vertreten (Esteban, Joxean, David, Alex). Zusätzlich sind diesmal einige andere Reporter von Sicherheitslücken wie Pete Finnigan, Mariano Nunez Di Croce, Ali Kumcu und Alexandr Polyakov mit dabei.
Laut einer Email die ich von Oracle secalert erhalten habe, wurde 7 meiner Sicherheitslücken (Tracking Nummer: 6980733, 7520291, 9675443, 9675563, 9675681, 9675695, 9675857) korrigiert. Diese Fehler wurde auf die Fehlernummern DB05, DB04 und DB02 abgebildet.
Das höchste CVSS Rating der Datenbank-Fehler von 6.5 hat der Fehler DB01.
DB02, DB03, DB04 und DB05 sind SQL Injection Lücken, die eine Privilegieneskalation erlauben.
Das höchste Application Server CVSS Rating von 9.3 (von 10) haben 2 Fehler (AS01, AS02) im Oracle Jinitiator 1.1.8.26 und 1.3.1.27. Diese Fehler betreffen lediglich die Clients nicht aber den Server. Bei diesem Fehler handelt es sich um den im letzten August vom US-Cert veröffentlichten Stack Buffer Overflow in ActiveX-Control des Jinitiator.
Weitere Informationen zum aktuellen CPU enthält der Metalink-Eintrag (466757.1). Dort werden einige interessante Einzelheiten beschrieben.
So ist es bei diesem CPU notwendig ALLE Views in allen Datenbanken neu zu kompilieren. Ursache sind die “VIEW”-Probleme, die im Juli/Oktober 2007 korrigiert wurden.
Der Oracle CPU Januar 2008 ist der “Terminal CPU” für das Patchset 10.1.3.0 und 10.2.0.2, wobei die Patches für 10.2.0.2 erst für den 25-Januar angekündigt sind. Für 10.2.0.2 Windows sind keine Patches geplant. Es gibt nun eine neue Tabelle “Planned Patches for Oracle Database” im Metalink-Dokument.
Weitere Information zum Januar 2008 CPU, detaillierte Fehleranalysen, … sind in Zusammenarbeit mit Opitz-Consulting im CPU-Review erhältlich.
Geschrieben in CPUJan2008, Oracle Security | Drucken | Keine Kommentare »