Gestern abend war dann noch mein Vortrag auf der DOAG-Konferenz . Der Raum war voll - und es mussten noch ca. 30 Leute stehen. Das Interesse an Oracle Datenbank Security ist also vorhanden :-) - das zeigten auch die vielen Fragen während und nach der Session. In einem kleinen Fallbeispiel erklärte...

Für diverse Oracle Features wird ein Wallet gebraucht. Damit ein Wallet von der Datenbank gelesen werden kann, muss es geöffnet sein. Häufig wird dafür AutoLogin benutzt. Dies hat aber einen grossen Nachteil: Wenn das Wallet auf einen anderen Rechner kopiert wird, ist es dort immer...

Oracle gab am 20.05.2010 bekannt, dass sie Secerno aufgekauft haben, um ihre Palette von Datenbank-Sicherheitsprodukten zu erweitern. Secerno ist ein Softwareanbieter mit Niederlassungen in Oxford und New York, der sich mit dem Produkt DataWall auf die Überwachung und den Schutz von Datenbanken...

Oracle hat gestern einen Security-Fix ausserhalb der quartalsweise erscheinenden CPUs veröffentlicht. Dieser schliesst eine Lücke im im WebLogic Node Manager (CVE-2010-0073), welche remote ohne Authentifizierung ausgeführt werden kann. Der CVSS-Basescore ist 10 – es kann also zum...

Ich möchte gern noch einen Nachtrag zu der DOAG-Regio-Veranstaltung schreiben - und euch um eure Meinung bitten.

Als dritter Teil meiner kleinen Blogreihe über das neue External Table Feature (Scriptausführung per PREPROCESSOR) noch ein paar Worte über Security ;-) Was ist hierbei das hauptsächliche Security-Risiko?

Ein kleiner Nachtrag zu meinem Eintrag über External Tables : Die Ausführung von Scripten (also die Option PREPROCESSOR) funktioniert nicht mit Oracle Database Vault.

In diesem Blogeintrag beschreibt Ulrike Schwinn von Oracle sehr gut, wie man External Tables benutzt - und vor allem das neue 11g-Feature. Damit ist es möglich, vor dem Lesen der Datei Scripte auszuführen, um z.B. die Datei erst einmal zu entpacken (oder auch per scp/ftp irgendwo abzuholen...

Igor zeigt in seinem Blog-Eintrag ein gutes Beispiel für Proxy-Authentication. Vielleicht noch eine Ergänzung dazu: Über die Funktion SYS_CONTEXT bekommt man eine Menge mehr Infos über die angemeldete Session heraus. Ich habe mir vor langer Zeit (2002) mal ein kleines Script dazu...

Ich hatte schon öfters die Anforderung, auf Statement-Ebene Auditing einzuschalten. Also z.B. in einem Logon-Trigger die Umgebung des Users abzuchecken und anhand dessen zu entscheiden, ob Auditing notwendig ist oder nicht. Oracle sieht dies aber nicht so vor. Es ist nur auf Schema-Ebene definierbar...

In the current Oracle Critical Patch Update (April 2009) all our Security Bugs are solved, as well in Oracle Database version 11.1.0.7. Starting from now, I can recommend Database Vault. But please read the documentation carefully. Database Vault does not help for all security requirements (e.g. encryption...

First chapter in the Patch Set Notes: ... Patch sets provide bug fixes only; they do not include new functionality and they do not require certification on the target system. ... This is so not true There is at least one new feature: a new package called DBMS_AUDIT_MGMT. This should be mainly used...

During the last days we have tested the CPU very intensively. Some information about it: I recommend applying it, if you use Oracle Application Express (APEX) 3.0. Because on iDefense it is described, how easy a security hole can vulnerable. You can upgrade to APEX 3.1 too. This is the first CPU without...

After the x86-Linux and the 32-bit Windows version now the x84-64bit Linux version is ready for download. For more information see here.

Here are the first information about the next CPU. Database: This CPU contains 17 new security fixes (including 2 for Oracle Application Express) The highest CVSS base score of vulnerabilities is 6.6. This is regarded as a high risk. Some very critical components are affected: Audit Authentication...

Wir haben das Patchset 10.2.0.4 auf einer Database Vault Datenbank getestet. Obwohl in der Liste der Bugfixes kein Database Vault Bug erscheint, wurden zwei meiner kritischsten Bugs behoben Einer ist noch offen - aber dieser ist wesentlich schwieriger (und nur als SYS) auszunutzen. Da die OS Authentication...

Nachdem im CPU Januar 2008 unsere gemeldeten Bugs nicht behoben wurden, habe ich heute von Oracle eine neue Antwort bekommen: Die Bugs sind gefixt in 10.2.0.4 und 11.1.0.7 - und vielleicht auch in einen späteren CPU für ältere Versionen. Also - warten wir weiter ab...

Wir sind gerade am intensivem Testen des CPUs. Einige Punkte dazu: Beim Einspielen des CPU in eine Oracle 10g Datenbank, wird automatisch ohne Abfrage der Oracle Configuration Manager (OCM) installiert: OPatch will now install the Oracle Configuration Manager in the Oracle Home. Wer dieses Feature...

Es ist wieder so weit: Die Vorbereitungen für das CPU können starten. Die ersten Informationen von Oracle sind hier verfügbar. Ein paar Details dazu: Dies ist das erste CPU, welches auch Fixes für Oracle 11g beinhaltet Für Oracle 10g Database Vault finde ich keine Informationen...

Ausser angepassten Passwort-Profilen (siehe diesen Artikel) gehören noch weitere Änderungen am Default-Verhalten zu Oracles Initiative "Secure by Default". So ist jetzt standardmässig Auditing eingeschaltet für folgende Operationen (Auszug aus der Oracle-Dokumentation):...

"Secure by Default" nennt Oracle eine neue Initiative, durch die Oracle Database 11g out-of-the-box sicherer ist als eine vergleichbare 10g-Installation. Dazu gehört u.a. auch "Fine-Grained Access für Netzwerk-Callouts", worüber ich hier schon berichtete. Ausserdem...

Tanel Poder beschreibt in seinem Blog-Eintrag "Your read only accounts aren’t that read only", dass Benutzer mit ausschliesslich Select-Rechten Tabellen locken können. Damit besteht die Gefahr, dass diese Benutzer Applikationen komplett lahmlegen können. Tanel liefert auch einen ...

Hat ein Benutzer EXECUTE-Rechte auf eines der folgenden Packages, kann er (bis Oracle 10g) Informationen an beliebige Hosts schicken: UTL_TCP UTL_SMTP UTL_MAIL UTL_HTTP UTL_INADDR Mit Oracle 11g ist dies nicht mehr der Fall. Per Default hat kein Benutzer (ausser SYS) die Möglichkeit, mit diesen...

Ein kurzes Update zu unserem Security Alert: Oracle informierte uns, dass drei unserer kritischsten Security Holes im Main Code behoben sind. Die Fixes sollen im nächsten CPU (Januar 2008) enthalten sein. Wir bemühen uns, einen Vorab-Patch zu bekommen für die Kunden, die Database Vault...

Mit dem in Oracle 10g eingeführten Scheduler (der in der Datenbank, implementiert mit dem Package dbms_scheduler) ist es leicht möglich, externe Programme (z.B. OS-Scripts) zu starten. Innerhalb der Datenbank konnte aber nicht gesteuert werden, unter welchem Betriebssystembenutzer die Programme...