M-A-O-L

Was, behauptet David Litchfield, sollte man durchaus ernst nehmen, und nicht nur rhetorisch behaupten?

(Über)

Welches S soll künftig zum Security-Mantra CIA (Confidentiality, Integrity, Availability) hinzustossen?

Worauf haben alle Oracle Spezis schon lange gewartet, und wird trotzdem niemand etwas deswegen machen?

Was rät der naive Entwickler dem Betreiber, der für tausende Server oder Datenbanken zuständig ist?

(Via)

Was verwechseln sogar Security-Spezialisten mit 17 Jahren Erfahrung?

Was darf man am 28. März 14:00 nicht verpassen?

(Via)

Da ist es ja, das SQL Injection Tutorial von Oracle. Bei jedem Security CAC immer angekündigt, taucht es plötzlich ohne weiteres Announcement auf der Oracle Server Technologies Homepage auf.

Es handelt sich um die interne Schulung für die Oracle Development Teams, ist aber natürlich für jeden PL/SQL Entwickler oder Consultant sehr empfehlenswert. SQL Injection geht jeden an!

Ein guter Schachzug von Oracle, um den lädierten Ruf in Security-Belangen etwas aufzubessern.

Darauf gestossen bin ich via Lutz’ Blog (der auch immer seltener schreibt).

Die Digital Soapbox hat einen Artikel über The Psychology of Patching…

I’m not saying patching isn’t critical and important, don’t get me wrong – but it shouldn’t be as “all-important” as some people from our security realm would dictate. If you don’t patch to the latest Oracle patch-bundle, the sky won’t fall if your application design is security-conscious.

Ausgelöst durch einen Blog von Eric Maurice, via ZDNets Zero Day Blog. Die Frage war, ob man Patchen einfach einplanen muss, oder ob es gute Gründe gibt, die gegen das Applizieren jedes Security Patches sprechen.

Da gilt es immer zu beachten, dass nicht nur Patchen direkt Kosten verursacht, sondern Nichtpatchen indirekt auch Kosten verursachen kann. Die lassen sich aber schlecht quantifizieren, so dass man sie in extrem kostenbewussten Environments am liebsten ganz ignoriert.

Und dafür den den Applikationsteam als Hausaufgabe mitgibt, die Applikation securitybewusst zu entwickeln… und damit die Kosten einfach verlagert. Anhand dieser Argumentation sieht man immer gut, ob jemand eher aus dem IT-Infrastruktur-Lager kommt, oder aus Development-Team.

Das Oracle Critical Patch Update – January 2008 ist raus, und ich denke, wir Datenbänker können aufschnaufen. Betroffen sind praktisch nur Add-On Komponenten wie XML-DB, Advanced Queuing, Spatial und UltraSearch. Einzig DB05 betrifft Upgrade/Downgrade, und ist über Oracle Net exploitable. Es handelt sich wohl um das Problem, dass man während dem Dictionary-Upgrade für einzelne Accounts das Default-Passwort verwenden kann. Der Workaround ist einfach: Listener abstellen während dem Upgrade. Ist sowieso empfohlen!

Und ebenfalls interessant: Eight Ways to Hack Oracle. Davon sind allerdings nur vier beschrieben, und keine Bemerkung, ob noch was folgt. Tja…