maol

Tag: Patch

  • Januar CPU Preview Update

    Kleine Presseschau 24 Stunden nach dem Announcement: Computerworld: Oracle will give early notice of security updates VNUNet: Oracle to issue pre-release patch info ZDNet: Oracle offering early warning on security fixes InfoWorld: Oracle now giving early notice of security updates Heise: Oracle führt Vorankündigung für eigenen Patchday ein The Register: Bullseye of Oracle patches due…

    By

    Markus Perdrizat

    ·

  • Oracle Critical Patch Update Pre-Release Announcement – January 2007

    Oracle hat soeben sein Oracle Critical Patch Update Pre-Release Announcement – January 2007 veröffentlicht. Für die Datenbank selbst schreiben sie folgendes: This Critical Patch Update contains a total of 27 new security fixes for Oracle Database products, 10 of which may be remotely exploitable without authentication, i.e. they may be exploited over a network without…

    By

    Markus Perdrizat

    ·

  • Oracle und CVSS

    Oracle hat sich entschieden, für seine Security Alert Severity Ratings auf CVSS zu wechseln. Das ist nicht unkritisch, da CVSS Servern im Fokus entworfen ist, dies im Gegensatz zum Service-Ansatz, der für Oracles Security Advisories besser geeignet wäre. Mit dem serverbasierten Ansatz kann der Maximalscore nur erreicht werden, wenn der Server als Ganzes kompromittiert ist…

    By

    Markus Perdrizat

    ·

  • Best of Oracle Security 2006

    Alex Kornbrust hat ein neues Whitepaper zum Thema Best of Oracle Security 2006 (PDF). Darin beschreibt er unter anderem auch, wie einfach es war, den im Januar CPU geflickten DB18 zu exploiten: Nach einem erfolgreichen Login gegen eine Oracle Datenbank, setzt Oracle den NLS-Parameter mittels eines “ALTER SESSION SET NLS…”-Befehls. Dieser Befehl wird im Kontext…

    By

    Markus Perdrizat

    ·

  • Oracle #68

    Oracles Security Alert hat nicht nur bei uns zu grösseren Aufwänden geführt, am schlimmsten war aber die Drohung von NGSSoftware, am 31. November (nb: der November hat 30 Tage) genauere Informationen zu veröffentlichen, verbunden mit der Meinung vieler Leute bei uns, dass sich mit diesen Informationen Oracle Exploits programmieren lassen, welche ohne gültigen Oracle- oder…

    By

    Markus Perdrizat

    ·

By

Markus Perdrizat

·