Oracle hat gestern einen Security-Fix ausserhalb der quartalsweise erscheinenden CPUs veröffentlicht. Dieser schliesst eine Lücke im im WebLogic Node Manager (CVE-2010-0073), welche remote ohne Authentifizierung ausgeführt werden kann. Der CVSS-Basescore ist 10 – es kann also zum...

In the current Oracle Critical Patch Update (April 2009) all our Security Bugs are solved, as well in Oracle Database version 11.1.0.7. Starting from now, I can recommend Database Vault. But please read the documentation carefully. Database Vault does not help for all security requirements (e.g. encryption...

During the last days we have tested the CPU very intensively. Some information about it: I recommend applying it, if you use Oracle Application Express (APEX) 3.0. Because on iDefense it is described, how easy a security hole can vulnerable. You can upgrade to APEX 3.1 too. This is the first CPU without...

Here are the first information about the next CPU. Database: This CPU contains 17 new security fixes (including 2 for Oracle Application Express) The highest CVSS base score of vulnerabilities is 6.6. This is regarded as a high risk. Some very critical components are affected: Audit Authentication...

Wir haben das Patchset 10.2.0.4 auf einer Database Vault Datenbank getestet. Obwohl in der Liste der Bugfixes kein Database Vault Bug erscheint, wurden zwei meiner kritischsten Bugs behoben Einer ist noch offen - aber dieser ist wesentlich schwieriger (und nur als SYS) auszunutzen. Da die OS Authentication...

Nachdem im CPU Januar 2008 unsere gemeldeten Bugs nicht behoben wurden, habe ich heute von Oracle eine neue Antwort bekommen: Die Bugs sind gefixt in 10.2.0.4 und 11.1.0.7 - und vielleicht auch in einen späteren CPU für ältere Versionen. Also - warten wir weiter ab...

Wir sind gerade am intensivem Testen des CPUs. Einige Punkte dazu: Beim Einspielen des CPU in eine Oracle 10g Datenbank, wird automatisch ohne Abfrage der Oracle Configuration Manager (OCM) installiert: OPatch will now install the Oracle Configuration Manager in the Oracle Home. Wer dieses Feature...

Es ist wieder so weit: Die Vorbereitungen für das CPU können starten. Die ersten Informationen von Oracle sind hier verfügbar. Ein paar Details dazu: Dies ist das erste CPU, welches auch Fixes für Oracle 11g beinhaltet Für Oracle 10g Database Vault finde ich keine Informationen...

Es ist langsam wieder so weit, am 16. Oktober erscheint das nächste CPU. Das Pre-Release Announcement gibt schon mal einige interessante Informationen: 51 Security-Fixes für hunderte Oracle Produkte - wow Oracle ändert seine Risiko-Bewertung auf CVSS 2.0 Scoring Bereich Datenbank: ...

Seit 01.08.2007 gibt es keinen Premier Support für Oracle9i mehr. Nur noch “Extended Support” ist verfügbar. So weit die schlechte Nachricht. Heisst das, dass alle 9i-Datenbanken sofort nach 10g (oder bald 11g) migriert werden müssen? Aus technischer Sicht würde ich dies...

Patchlink hat eine interessante Studie veröffentlicht, nach der 54% der befragten Firmen “Zero-Day Vulnerabilities” als grösstes Sicherheitsrisiko bezeichnen und 29% kritische Updates innerhalb 2 Stunden einspielen. IT managers reacted far quicker to emergency patches this year...

5 Tage nach Erscheinen des Critical Patch Updates Juli 2007 wurde auf mehreren Blogs ein Exploit veröffentlicht, der die Sicherheitslücke DB17 (insert/update/delete auf Tabellen mit Nur-Lese-Recht) auf allen Datenbankversionen ausnutzt. Ich möchte dies benutzt nicht tun, da ich dies verantwortungslos...

Mit diesem CPU führt Oracle ein ganz neues Konzept ein: sogenannte napply CPUs (sprich N Apply). Dies sind Gruppen von Sub-Patches (sogenannte Molecules), die einzeln installiert werden können. Sollte eine Applikation Probleme mit dem gesamten CPU haben, können dann einzelne, für...

Gestern veröffentlichte Oracle das CPU für Juli 2007. Wie bereits im Pre-Release-Announcement angekündigt, ist der höchste CVSS-Score 4.8 - ist also recht hoch. Im Bereich der Datenbank liegt er bei 4.2. 45 Security-Lücken wurden gefixt, 18 davon in der DB, einschliesslich einer...

Es ist wieder einmal soweit: Oracle hat das “Pre-Release Announcement” für das CPU Juli 2007 veröffentlicht. Der höchste CVSS-Score liegt bei 4.8 - ist also recht hoch. Im Bereich der Datenbank liegt er bei 4.2 - und dort sind 20 Security-Lücken gefixt wurden, einschliesslich...

Ein Kollege meldete mir, dass er Probleme mit RMAN hat. Beim Restore kommt folgende Fehlermeldung: RMAN-20216: backup piece is missing RMAN-06159: error while looking up backup set Nach einigem Nachforschen bekamen wir heraus, dass dies durch das Einspielen des CPU vom April 2007 geschieht. Oracle ist...

Ein Kollege hat mir berichtet, dass er grössere Probleme beim Einspielen des CPU unter Windows und Oracle 10.2.0.3 hatte. Dort muss vorab ein anderer Patch eingespielt werden (Zeitzonen-Patch), der aber eventuell nicht alle Zeitzonen beinhaltet. Er musste deswegen manuell Zeitzonen anlegen. Also...