Anbei ein paar Eindrücke von der DOAG 2011:

Heute und morgen bin ich auf der Learntec in Karlsruhe. Mal nichts mit Security und Oracle, dafür viel über Knowledge Management. Morgen werde ich im dortigen Bildungsforum einen Vortrag mit dem Thema "Know-how Sammlung, Verteilung und Management bei einem mittelständischen IT...

Gestern abend war dann noch mein Vortrag auf der DOAG-Konferenz . Der Raum war voll - und es mussten noch ca. 30 Leute stehen. Das Interesse an Oracle Datenbank Security ist also vorhanden :-) - das zeigten auch die vielen Fragen während und nach der Session. In einem kleinen Fallbeispiel erklärte...

Heute 09:00 Uhr startete die DOAG Konferenz in Nürnberg. In den nächsten 3 Tagen sind viele interessante Vorträge zu den vielen Oracle-Produkten zu erwarten. Hier ein paar erste Eindrücke vom Conference Center und vom Trivadis Stand:

Mit diesem Release ändert Oracle seine Updatestrategie, das bedeutet einen Download von 4.7 GB (für Linux)! Es werden nun immer komplette Installationen ausgeliefert:

Für diverse Oracle Features wird ein Wallet gebraucht. Damit ein Wallet von der Datenbank gelesen werden kann, muss es geöffnet sein. Häufig wird dafür AutoLogin benutzt. Dies hat aber einen grossen Nachteil: Wenn das Wallet auf einen anderen Rechner kopiert wird, ist es dort immer...

Oracle gab am 20.05.2010 bekannt, dass sie Secerno aufgekauft haben, um ihre Palette von Datenbank-Sicherheitsprodukten zu erweitern. Secerno ist ein Softwareanbieter mit Niederlassungen in Oxford und New York, der sich mit dem Produkt DataWall auf die Überwachung und den Schutz von Datenbanken...

Marco Gralike beschreibt in seinem Blogeintrag, wie man per Commandline-Tool Datenbankoptionen aus- und einschalten kann. Interessant – das Tool kannte ich auch noch nicht… Es ist auch wirklich erst bei meiner 11.2-Installation dabei (nicht nur bei Windows, auch bei Linux). Interessant vor...

Auf der heutigen SOUG SIG (Special Interest Group) Database wurde wieder der Speaker des Jahres ausgezeichnet. Ich wahr sehr überrascht – und habe mich sehr darüber gefreut, dass ich den 2. Platz gewonnen habe An dieser Stelle auch Manfred Drozd meine Glückwünsche für...

Oracle hat gestern einen Security-Fix ausserhalb der quartalsweise erscheinenden CPUs veröffentlicht. Dieser schliesst eine Lücke im im WebLogic Node Manager (CVE-2010-0073), welche remote ohne Authentifizierung ausgeführt werden kann. Der CVSS-Basescore ist 10 – es kann also zum...

Ich möchte gern noch einen Nachtrag zu der DOAG-Regio-Veranstaltung schreiben - und euch um eure Meinung bitten.

Als dritter Teil meiner kleinen Blogreihe über das neue External Table Feature (Scriptausführung per PREPROCESSOR) noch ein paar Worte über Security ;-) Was ist hierbei das hauptsächliche Security-Risiko?

Ein kleiner Nachtrag zu meinem Eintrag über External Tables : Die Ausführung von Scripten (also die Option PREPROCESSOR) funktioniert nicht mit Oracle Database Vault.

In diesem Blogeintrag beschreibt Ulrike Schwinn von Oracle sehr gut, wie man External Tables benutzt - und vor allem das neue 11g-Feature. Damit ist es möglich, vor dem Lesen der Datei Scripte auszuführen, um z.B. die Datei erst einmal zu entpacken (oder auch per scp/ftp irgendwo abzuholen...

Igor zeigt in seinem Blog-Eintrag ein gutes Beispiel für Proxy-Authentication. Vielleicht noch eine Ergänzung dazu: Über die Funktion SYS_CONTEXT bekommt man eine Menge mehr Infos über die angemeldete Session heraus. Ich habe mir vor langer Zeit (2002) mal ein kleines Script dazu...

Ich hatte schon öfters die Anforderung, auf Statement-Ebene Auditing einzuschalten. Also z.B. in einem Logon-Trigger die Umgebung des Users abzuchecken und anhand dessen zu entscheiden, ob Auditing notwendig ist oder nicht. Oracle sieht dies aber nicht so vor. Es ist nur auf Schema-Ebene definierbar...

In the current Oracle Critical Patch Update (April 2009) all our Security Bugs are solved, as well in Oracle Database version 11.1.0.7. Starting from now, I can recommend Database Vault. But please read the documentation carefully. Database Vault does not help for all security requirements (e.g. encryption...

First chapter in the Patch Set Notes: ... Patch sets provide bug fixes only; they do not include new functionality and they do not require certification on the target system. ... This is so not true There is at least one new feature: a new package called DBMS_AUDIT_MGMT. This should be mainly used...

The first patchset for Oracle Database 11g is available. File size (Linux 32 bit): 1.5 GB!!! Happy download

For quite some time I have been trying to persuade my colleagues to write a MySQL plug-in for Oracle Grid Control. Without success... But now an official plug-in is available, created by Alex Gorbachev (Pythian Group). It can be downloaded from the "Oracle Enterprise Manager 10g Grid Control Extensions...

During the last days we have tested the CPU very intensively. Some information about it: I recommend applying it, if you use Oracle Application Express (APEX) 3.0. Because on iDefense it is described, how easy a security hole can vulnerable. You can upgrade to APEX 3.1 too. This is the first CPU without...

After the x86-Linux and the 32-bit Windows version now the x84-64bit Linux version is ready for download. For more information see here.

Here are the first information about the next CPU. Database: This CPU contains 17 new security fixes (including 2 for Oracle Application Express) The highest CVSS base score of vulnerabilities is 6.6. This is regarded as a high risk. Some very critical components are affected: Audit Authentication...

Nach der 32Bit Version ist nun auch die 64Bit Version des Patchset 10.2.0.4 erschienen. Auf Laurents Blog habe ich gelesen, dass die Unix-Releases zeitigstens in der dritten Aprilwoche kommen. Dies wäre aber sehr spät