Archive for the ‘Allgemein’ Category

Newer Entries »

Database Napply CPUs oder Welche Moleküle hast Du denn installiert?

Dienstag, Juli 17th, 2007

Wie Eric Maurice von Oracle gerade auf dem Oracle Global Product Security Blog veröffentlicht hat, führt Oracle bei diesen CPU’s (und allen folgenden 10.2.0.4 und 11g) eine Neuigkeit ein, sogenannte „Database Napply CPUs“.

Diese Napply Patches sind in sogenannte Moleküle (molecules) aufgeteilt. Jedes Molekül ist absolut unabhängig voneinander und kann unabhängig installiert werden. Dadurch sind Patchkonflikte einfacher zu lösen.

Eine interessante Idee für alle DBAs die wegen Patchkonflikten keine vollständigen CPUs auf einer Datenbank einspielen können.

Eine Metalink Note zu diesem Thema findet sich hier.

In Zukunft wird unter DBAs wohl eher heissen: „Welche Moleküle hast Du denn installiert?“

Posted in Allgemein, CPUJul2007 | No Comments »

Oracle CPU Juli 2007 veröffentlicht

Dienstag, Juli 17th, 2007

Oracle hat soeben seinen CPU Juli 2007 veröffentlicht. In diesem CPU werden 3 Sicherheitslücken, die Red-Database-Security GmbH gemeldet hat, korrigiert.

Diese Fehler sind 2 SQL Injection Lücken (Apex und dbms_prvtaqis) wird ein kritischer Fehler in Datenbank-Views korrigiert. Der Fehler in den Views, nicht zu verwechseln mit denjenigen, die letztes Jahr im April und Oktober 2006, wurde korrigiert. Dabei kann ein Benutzer mit Lese-Rechten über spezielle zusammengesetzte Views Insert/Update/Delete Statements ausführen ohne die entsprechenden Rechte zu besitzen.

Dabei handelt es sich um ein Problem des Oracle Optimizers (Hallo Trivadis: Bitte auch den Optimizer testen 😉 )
Unsere Analyse findet sich wie üblich bei Red-Database-Security.

Posted in Allgemein | No Comments »

Oracle University Guru Seminare

Freitag, Juli 13th, 2007

Die Oracle University bietet Guru Seminare zu verschiedenen Themen an. Unter anderem am 18. Oktober in München zum Thema Oracle Security. Dort werde ich neben Oracle Hacking  auch den Oracle CPU October 2007 behandeln, der kurz vorher rausgekommen ist.

Die Platzanzahl ist begrenzt. Wie immer gilt: Wer zuerst kommt malt zuerst.

Posted in Allgemein, Oracle Security | No Comments »

Oracle Critical Patch Update Juli 2007 korrigiert 46 Lücken

Donnerstag, Juli 12th, 2007

Oracle hat die Vorankündigung für Oracle CPU Juli 2007 veröffentlicht. Insgesamt werden in der Oracle Datenbank 20 neue Sicherheitslücken korrigiert. Eine Korrektur ist für Oracle APEX (wurde von Red-Database-Security gemeldet) und ist bereits in Apex 3.0.1 bzw. Oracle 11g, dass 3.0.1 enthält, veröffentlicht. Welche anderen Lücken von RDS korrigiert wurden (siehe upcoming alerts von RDS), ist noch nicht bekannt.
2 Lücken sind remote ohne Benutzername und Passwort ausnutzbar.

Client-installationen sind diesmal nicht davon betroffen.

Im Oracle Application Server wurden 4 Lücken, Collabsuite 1 Fehler, E-Business-Suite 14, die restlichen Fehler sind in Peoplesoft. Die höchsten Lücken haben ein CVSS-Rating von 4.8, also relativ hoch.

Posted in Allgemein, CPUJul2007, Oracle Security | 1 Comment »

Versteigerung von Sicherheitslücken

Montag, Juli 9th, 2007

Die in der Schweiz registrierte Firma WSLabi verkauft Sicherheitslücken (Exploits). Dazu stellt WSLabi eine Auktionsplattform zur Verfügung über die Sicherheitslücken gekauft und verkauft werden können.

Ein Artikel mit Details findet sich bei Securityfocus.

Der Trend Sicherheitslücken (für möglichst viel Geld) zu verkaufen anstatt dem Hersteller umsonst mitzuteilen, zeichnet sich seit den letzten 2 Jahren ab. Je sicherer die Software wird/ist, desto höher der Preis.

Posted in Allgemein | No Comments »

Oracle Oktober/Januar CPU führt zur RMAN-Problemen

Sonntag, Juni 3rd, 2007

Von einigen Kunden wurde ich darauf aufmerksam gemacht, dass es unter Windows 9.2.0.8 mit eingespieltem Oktober 2006 oder Januar 2007 CPU Probleme beim Einspielen der Daten über RMAN gibt. Es gibt auch einen entsprechenden Eintrag in Metalink (Docid: 434527.1 ,Rman fails to restore in 9.2.0.8 with CPU patch installed on Windows platform)
Als Workaround wird von Oracle das Entfernen des CPU Patches oder das Neuerzeugen der Kontrolldatei vorgeschlagen. Seit Juni 2007 gibt es auch einen Patch für dieses Problem (Bug 5915901).

Der Fehler bei RMAN äußert sich folgendermaßen:
———————————————————-

Rman fails to RESTORE with :

RMAN-20216: backup piece is missing
RMAN-06159: error while looking up backup set
A crosscheck of a backupset fails with:

ORA-1405: fetched column value is NULL
RMAN-6159: error while looking up backup set

———————————————————-

Posted in Allgemein | No Comments »

Oracle Security Rätsel

Montag, Mai 28th, 2007

Während Oracle Security Audits finden wir von Zeit zu Zeit folgenden unsicheren Code. Finden Sie die Lücke und wissen Sie wie man diese Lücke ausnutzt?
Auflösung demnächst in diesem Blog…
————-

FUNCTION CHGPWD (
P_USER VARCHAR2,
P_PWD VARCHAR2)
RETURN BOOLEAN IS

L_STMT VARCHAR2(255);

BEGIN

L_STMT:= ‚ALTER USER „‚ || P_USER || ‚” IDENTIFIED BY „‚ || P_PWD||'“‚;

EXECUTE IMMEDIATE L_STMT;

END;

Posted in Allgemein | 1 Comment »

Neuer Oracle Security Blog

Mittwoch, Mai 23rd, 2007

Willkommen zum deutschen Blog von Red-Database-Security GmbH. Hier werden interessante Informationen zum Thema Security und Oracle Security veröffentlicht.

Posted in Allgemein | No Comments »

Newer Entries »