M-A-O-L

Ronny Egner’s post reminded me that when you come back to work next week, Oracle 10gR2 will be in Extended Support. Luckily for all of us (who can say they have no more 10g databases?),  Oracle doesn’t charge their customers for the first year of Extended Support on Oracle 10gR2, so you’ll have another year to get off of 10.2.0.5, or start paying for Extended Support after 31. July 2011.

Note that starting 1. August 2010, 10.2.0.5 is the only supported release on 10gR2, so in case you haven’t upgraded to 10.2.0.5, now’s the time to make this a Change Weekend and take your database down for the patchset upgrade!

Die Digital Soapbox hat einen Artikel über The Psychology of Patching…

I’m not saying patching isn’t critical and important, don’t get me wrong – but it shouldn’t be as “all-important” as some people from our security realm would dictate. If you don’t patch to the latest Oracle patch-bundle, the sky won’t fall if your application design is security-conscious.

Ausgelöst durch einen Blog von Eric Maurice, via ZDNets Zero Day Blog. Die Frage war, ob man Patchen einfach einplanen muss, oder ob es gute Gründe gibt, die gegen das Applizieren jedes Security Patches sprechen.

Da gilt es immer zu beachten, dass nicht nur Patchen direkt Kosten verursacht, sondern Nichtpatchen indirekt auch Kosten verursachen kann. Die lassen sich aber schlecht quantifizieren, so dass man sie in extrem kostenbewussten Environments am liebsten ganz ignoriert.

Und dafür den den Applikationsteam als Hausaufgabe mitgibt, die Applikation securitybewusst zu entwickeln… und damit die Kosten einfach verlagert. Anhand dieser Argumentation sieht man immer gut, ob jemand eher aus dem IT-Infrastruktur-Lager kommt, oder aus Development-Team.

Das Oracle Critical Patch Update – January 2008 ist raus, und ich denke, wir Datenbänker können aufschnaufen. Betroffen sind praktisch nur Add-On Komponenten wie XML-DB, Advanced Queuing, Spatial und UltraSearch. Einzig DB05 betrifft Upgrade/Downgrade, und ist über Oracle Net exploitable. Es handelt sich wohl um das Problem, dass man während dem Dictionary-Upgrade für einzelne Accounts das Default-Passwort verwenden kann. Der Workaround ist einfach: Listener abstellen während dem Upgrade. Ist sowieso empfohlen!

Das Oracle Critical Patch Update Pre-Release Announcement – January 2008 ist da, und alle Experten schreiben dasselbe:

• Zum ersten Mal mit 11g Patches
• Nur 8 DB Patches, kein Remote Exploit
• Aber einer davon kritisch (CVSS 2 Rating von 6.5)

Die Experten sind: Sven Vetter, Alex Kornbrust, und Stephen Kost. Na dann warten wir mal auf den nächsten Dienstag (PST).

David Litchfield in einer Mail an dbsec:

I’m seeking answers from Oracle DBAs and professionals about their feelings on security patches was hoping as many of you as possible would take the time to answer the 6 questions here : http://www.databasesecurity.com/survey.htm – I’d really appreciate it! Once I’ve got a good set of answers I’ll obviously post the details – and I’ll pester every so often until I do 😉

Es sind nur ein paar wenige Fragen, und ich hätte mir mehr oder differenziertere Auswahl gewünscht (so sind Security Patches für mich alles drei: sehr wichtig, ärgerlich, und normal für DBAs), aber ich bin trotzdem gespannt auf die Auswertung.

Oracle hat das Critical Patch Update October 2007 Pre-Release Announcement veröffentlicht, und Stephen Kost von Integrigy hat es analysiert:

There are 5 remotely exploitable without authentication vulnerabilities, which are not typical of previous database vulnerabilities. Most previous database vulnerabilities require database authentication to exploit. Depending on the exact nature of the 5 remotely exploitable without authentication vulnerabilities, this quarter’s CPU could prove to be the most critical in the past 2 years.

Aber hoppla, das wäre nicht so gut.

Ausserdem ist zu vermerken, dass Oracle wie angekündigt jetzt CVSS 2 Metriken verwendet. Für die nächsten zwei CPUs werden weiterhin auch CVSS 1 Metriken mitgeliefert, damit der Umstieg einfacher fällt.

Oracle Critical Patch Update – July 2007 Pre-Release Announcement:

This Critical Patch Update contains 20 new security fixes for the Oracle Database including 1 new security fix for Application Express. 2 of these vulnerabilities may be remotely exploitable without authentication, i.e. they may be exploited over a network without the need for a username and password. None of these fixes are applicable to Oracle Database client-only installations, i.e. installations that do not have the Oracle Database installed.
The highest CVSS base score of vulnerabilities affecting Oracle Database products is 4.2.

Mit Produkten wie Apex, Oracle Text, Spatial und OID, die ebenfalls zur DB gezählt werden, ist es gut möglich, dass die beiden Remote Exploits Produkte betreffen, die nur selten eingesetzt werden, nur leider wissen wir das noch nicht.
Integrigy haben wie üblich als erste eine Analyse des Announcements, Alex Kornbrust berichtet auf deutsch und auf englisch, und Ryan Naraine hat als Logo seines Artikels die Oracle-Werbung 17 out of 20 largest banks in world run Oracle verwendet. Ob er uns damit was sagen will?
Der CPU wird am Dienstag 17. Juli veröffentlicht werden.

Oracle hat den Oracle CPU April 2007 released. Die befürchtete Schwemme an ultrakritischen Vulnerabilities ist auf Windows beschränkt, wenigstens was die Datenbank betrifft.

Das Oracle Critical Patch Update Pre-Release Announcement – April 2007 ist da. Viel weniger Vulnerabilities als gewöhnlich, aber dafür in praktisch jedem Produkt inklusive der Datenbank zwei remotely exploitable, and authentication not required vulnerabilities, also klassiche Remote Exploits, die sofort gepatcht werden müssen. Auweia, damit hat inzwischen niemand mehr gerechnet!
Das Integrigy Blog hat schon eine erste Analyse.

Oracle hat gestern wie geplant das Oracle Critical Patch Update January 2007 angekündigt. Weitere Berichte von Eric Maurice, Manager for Security bei Oracle, und die Oracle January 2007 CPU Initial Thoughts von Integrigy.
Seit dem Pre-Announcement wussten wir ja schon, dass es einzelne Security Bugs geben wird, die remote ohne Authentisierung ausgenutzt werden können, also ist der Januar CPU wieder etwas gefährlicher als die vorhergehenden drei.
Und wie üblich hat Oracle Probleme, die Patches für alle Versionen rechtzeitig zur Verfügung zu stellen, so wird z.B. für Oracle 9.2.0.8 gemäss Integrigy nur auf den Download für den October CPU verwiesen…
Alles in allem also genug Stoff für ein paar heftige Diskussionen am Oracle Security Customer Advisory Council nächste Woche in Redwood Shores!