Die Oracle University bietet Guru Seminare zu verschiedenen Themen an. Unter anderem am 18. Oktober in München zum Thema Oracle Security. Dort werde ich neben Oracle Hacking auch den Oracle CPU October 2007 behandeln, der kurz vorher rausgekommen ist.
Die Platzanzahl ist begrenzt. Wie immer gilt: Wer zuerst kommt malt zuerst.
Oracle hat die Vorankündigung für Oracle CPU Juli 2007 veröffentlicht. Insgesamt werden in der Oracle Datenbank 20 neue Sicherheitslücken korrigiert. Eine Korrektur ist für Oracle APEX (wurde von Red-Database-Security gemeldet) und ist bereits in Apex 3.0.1 bzw. Oracle 11g, dass 3.0.1 enthält, veröffentlicht. Welche anderen Lücken von RDS korrigiert wurden (siehe upcoming alerts von RDS), ist noch nicht bekannt.
2 Lücken sind remote ohne Benutzername und Passwort ausnutzbar.
Client-installationen sind diesmal nicht davon betroffen.
Im Oracle Application Server wurden 4 Lücken, Collabsuite 1 Fehler, E-Business-Suite 14, die restlichen Fehler sind in Peoplesoft. Die höchsten Lücken haben ein CVSS-Rating von 4.8, also relativ hoch.
Nach dem Einspielen des Oracle CPU April 2007 funktioniert der Connect mit Oracle 8.0.5 nicht mehr. Oracle 8.0.5. wird beispielsweise zusammen mit OFSA 4.5 installiert. Ursache dieses Problems ist wahrscheinlich die Änderung des Verhaltens des Login Triggers (DB05 CPUApr2007), da der Alter Session Befehl nun nach dem Login-Trigger anstatt vor dem Login-Trigger ausgeführt wird.
Der entsprechende Metalink Eintrag ist unter „ORA-2248 INVALID OPTION FOR ALTER SESSION WITH FDM AND CPUAPR2007 PATCH“ verfügbar.
Als Workaround schlägt Oracle das Update auf 8.0.6 vor.
Es gibt nun auch Checkpwd 1.23 und sidguess für Mac OSX als PPC Executable. Die deutsche Version 1.23 von Checkpwd zeigt allerdings nur noch an, ob Passworte schwach sind, aber nicht mehr, wie das Passwort lautet (§202c StGB läßt grüßen…).
Leider gibt es momentan nur eine PPC Version des Oracle Instant Clients für Mac, weshalb auch checkpwd für die PowerPC Architektur kompiliert wurde. Es bleibt zu hoffen, dass Oracle den Instant Client auf die Intel-Architektur migriert.
Sidguess
In dem Artikel „Security guru blasts Oracle’s patching policies“ kritisiert Aaron Newman von Application Security Inc. die Patchpolitik von Oracle. Es dauert zu lange bis Oracle Probleme korrigiert und die entsprechenden Fehler auch in alten Versionen korrigiert werden.
Ich habe gerade die Webseite mit einer neuen Seite „Oracle Security Videos“ ergänzt. Diese wird in Zukunft um weitere kleine Videos erweitert, die zeigen wie man eine Datenbank sichern bzw. hacken kann.