M-A-O-L

The Oracle Critical Patch Update October 2010 is out, see the Oracle Security Blog for commentary. Of the 9 Database related vulnerabilities, 7 do not apply if you are on the latest patchset on 10gR2 or 11gR2, a much higher than usual number, and hopefully a good sign for what’s to come. On the other hand that means you should really be on the latest patchset for these, and get off of 10gR1 and 11gR1 urgently, unless you want to keep up the patching cycles.

Ronny Egner’s post reminded me that when you come back to work next week, Oracle 10gR2 will be in Extended Support. Luckily for all of us (who can say they have no more 10g databases?),  Oracle doesn’t charge their customers for the first year of Extended Support on Oracle 10gR2, so you’ll have another year to get off of 10.2.0.5, or start paying for Extended Support after 31. July 2011.

Note that starting 1. August 2010, 10.2.0.5 is the only supported release on 10gR2, so in case you haven’t upgraded to 10.2.0.5, now’s the time to make this a Change Weekend and take your database down for the patchset upgrade!

Welches ist der allerbeste Artikel zum Thema Oracle Statistics?

Seit sieben Monaten hatte er nicht mehr geschrieben, aber dann musste er doch wieder. Wim Cokaerts, Chef Linux Honcho bei Oracle, musste unbedingt auf einen Artikel reagieren, den er unfair oder schlecht recherchiert fand

Da wird nämlich behauptet, dass die Oracle-Installation auf Oracles Enterprise Linux mühsam sei und mehrere Stunden dauere.

Er nimmt also den langsamsten PC, den er finden kann, und installiert Linux und Oracle 10g in 37 Minuten. Womit mal wieder bewiesen ist, dass man als Journalist nicht über Themen schreiben soll, die man ungenügend recherchiert hat – es sei denn, man wolle eine Kontroverse starten, um Leser anzuziehen

Das Eye on Oracle fragt sich: Do Oracle Database innovations really matter?

Database 11g will boast a host of new, innovative features – such as Database Replay and its new Real Application Testing-related capabilities — but do these new fangled gadgets really matter to DBAs in the trenches?

Das frag ich mich manchmal auch. Schlussendlich ist aber nach den zwei 10g Releases auch hier wieder Manageability einer der Innovationsschwerpunkte, und da gibt es bei Oracle doch noch einiges zu verbessern.

Fix Control:

Oracle has introduced a fix control mechanism in 10.2 which allows customers to turn off fixes for optimizer related bugs. This is governed by the underscore parameter _fix_control. The bugs for which fixes can be turned off are listed in v$session_fix_control and v$system_fix_control and can also be seen in a 10053 output.

Hab ich nicht gewusst. Nettes Feature!

Ja so ist es leider: 10.1.0.5 is the terminal patchset. Diese Entscheidung von Oracle, nota bene mehr als ein Jahr nach dem Release von 10.1.0.5, haben wir gar nicht gerne gesehen, denn bis anhin hat es immer geheissen, dass es noch mindestens bis 10.1.0.6, wenn nicht eher sogar bis 10.1.0.7 gehen würde.
Handkehrum kann ich ja verstehen, dass Oracle der 10gR1 Community möglichst schnell den Saft abdrehen will, und sie nach 10gR2 oder sogar 11g migrieren sollen. Denn Oracle 10gR1 spielt inzwischen mit rund 15% Verbreitung hinter 9i und 10gR2 nur noch die dritte Geige, und so möchte Oracle natürlich möglichst wenig Aufwand reinstecken, um bestehende Kunden auf dieser Exotenplattform zu unterstützen.

Aaron Newman, Gründer von von Application Security Inc., in einem Interview zum Thema Oracles Patching Policies:

You really need to refocus efforts away from new security features and onto how we fix these holes that have been around for years and years and port them to Oracle 8i or Oracle 9i or some of the other platforms that aren’t as critical. That’s what their problem is: They can patch problems quickly on 10g on Linux, but they take very, very long to back port that to Oracle 8i on the AIX platform and things like that. You have to support those people and that’s really the most critical thing I think they really need to address, rather than figuring out how to do a better auditing system.

Die grosse Anzahl Plattformen und Versionen ist sicher ein grosser Faktor bei der Reaktionszeit auf Bugs. Das Sicherheitsproblem aber einzig auf die Security Bugs zu reduzieren, wie es Newman tut, ist leider viel zu einfach. Auditing und Enterprise User Security oder Identity Management sind genauso wichtige Pfeiler in einer durchdachten Securitystrategie.
Langsam beginne ich Oracles Security-Kollegen zu verstehen, die mit manchen der Oracle-Hacker doch etwas Probleme haben.

Wieso IDS nur eine von mehreren Security-Massnahmen sein können: Interesting Payload to PLSQL exploit at Milw0rm von Paul Wright.

Instead of grant dba to scott the exploit payload inserts the values into sysauth$.
This will bypass many IDS signatures. David mentioned this to me quite a while ago and it is now public so better update those IDS rules.

Das Ganze anhand eines Exploits für Oracle 10g.

Die Aufregung war gross, als letzte Woche bekannt geworden ist, dass Oracle 10.2.0.3 nicht auf VxFS betreibbar ist. Jetzt ist ein One-Off-Patch verfügbar, aber die Schlamperei seitens Oracle scheint weiterzugehen, wie Kevin Closson schreibt. The 10.2.0.3 Patchset with VxFS Saga: An Example of Incorrectly Describing the Incorrectness:

Since the Metalink note got it wrong by stating that VxFS doesn’t support “directio” (a.k.a Direct I/O), I’ll clear it up here. As I stated in this blog entry, the true nature of the bug is that the 10.2.0.3 porting team implemented a call to the Solaris directio(3C) library routine which is a way to push Direct I/O onto a UFS file, but is not supported by VxFS. There, now, doesn’t that make more sense? Am I being a stickler? Yes, because there is a huge difference between the two following phrases:

• attempted to use directio with vxfs
• attempted to use directio(3C) with vxfs

Kevin impliziert damit, dass Oracle bewusst die Tatsachen verschleiert, um Propaganda gegen VxFS, und damit für ASM, zu machen, aber ich kann ihm da nicht recht folgen. Jedes technische Bulletin ist ein Kompromiss aus Details und Verständlichkeit, die sich den verfügbaren Platz streitig machen, da hat meistens keinen Platz mehr für Corporate Bullshitting…
(Und natürlich hätte ich als Engineer auch gerne mehr technische und korrekte Details in den Metalink Notes.)