U bent hier: Home > Blog > Database & extensies

Wat u moet weten over Oracle’s recente security bug

Marcel-Jan Krijgsman, 11 mei 2012

Vorige week is een security bug in de Oracle database in het nieuws gekomen, bekend onder de code CVE-2012-1675. Omdat we vragen van meerdere klanten hierover gehad hebben, willen we in deze blogpost hier nog even op in gaan.

Wat is de bug?
Volgens de beschrijving van het security lek is het mogelijk buiten je database server een listener te configureren die als een remote listener geregistreerd wordt aan een database. Waarom heeft Oracle die funtionaliteit destijds toegevoegd? Antwoord: Real Application Clusters, of RAC. Een RAC bestaat nu eenmaal uit meerdere machines  met listeners die onderdeel maken van het RAC.

Een hacker kan een remote listener gebruiken om het netwerkverkeer naar de database af te luisteren.

Wat is de oplossing?
Gezien de aard van de bug, is het niet verwonderlijk dat Oracle twee oplossingen heeft: een voor single node databases (Oracle support ID 1453883.1) en een voor RAC databases (Oracle support ID 1340831.1).

Voor single node databases zijn er eigenlijk twee oplossingen. Er is een patch voor bug 12880299 voor TCP verkeer. Na patchen kunt u de parameter “SECURE_REGISTER_<listener_name> = (TCP)” aan de listener.ora toevoegen. De listener moet hiervoor herstart worden. Overigens hebben we nog geen Windows patch kunnen ontdekken. Merk ook op dat deze patch voor bug 12880299 pas in juli verschijnt als onderdeel van de volgende Critical Patch Update.

De andere oplossing voor single node is om de listener te registreren aan de database middels het IPC protocol in plaats van het TCP protocol. Voordeel is dat er geen patch nodig is. Er moeten wel de nodige wijzigingen in de listener.ora gedaan worden en de instance parameter local_listener moet voortaan werken over het IPC protocol. Een herstart van de instance is voor deze parameter niet nodig. De listener moet wel herstart worden.

Voor RAC databases is het onwenselijk dat remote listeners uitgesloten worden. Dus daar heeft Oracle een andere oplossing voor bedacht. Hiervoor wordt een beveiligde SSL verbinding gelegd tussen de listeners. Hiervoor moet een wallet aangemaakt worden op alle machines waar een listener draait. Er moet vervolgens een certificaat aangemaakt worden dat in de wallet wordt opgeslagen. De listener moet aangepast worden en de listeners moeten bekend worden in de instances m.b.v. de parameter remote_listener. Voor de details verwijs ik naar Oracle support ID 1340831.1.

Nu is het zo dat deze met SSL beveiligde verbindingen normaal gesproken vallen onder de Oracle Advanced Security optie en dit is een aparte licentie. Maar speciaal voor deze bug mag je deze functionaliteit van Advanced Security gebruiken zonder dat je de licentie hoeft te betalen. Dit betekent dus niet dat alles van de Advanced Security optie opeens gebruikt kan worden zonder licentie. Volg de instructies van Oracle support ID 1340831.1 dus goed op.

Wat is de impact op de beschikbaarheid van uw systemen?
Voor single node databases zal de listener een keer herstart moeten worden. Op RAC systemen zullen de SCAN listeners twee keer herstart moeten worden.

Moet u deze wijziging implementeren?
Ik zeg “ja”. Waarom? Security is zo sterk als de zwakste schakel. Dat alleen al is een reden om deze bug aan te pakken.

Ook weet ik niet of uw database servers zijn afgeschermd van de rest van uw netwerk en van Internet, of u Wifi verbindingen heeft die al of niet goed beveiligd zijn, of dat iemand binnen uw organisatie gebruik zou wil maken van deze bug om uw klantenbestand of een lijst van credit card nummers of gegevens over burgers mee te nemen, enzovoort, enzovoort. Kortom, om iets over het al of niet dichtzetten van een security bug te kunnen zeggen, moet je de hele stack goed kennen en de risico’s goed weten.

Iets dergelijks zal ik ook zeggen over Critical Patch Updates die Oracle elk kwartaal uitbrengt overigens.

Oracle Database Appliance-proeftuin

Mariette Snellers, 16 april 2012

Test uw systeem in de ODA-proeftuin van Transfer Solutions

Zoals u ongetwijfeld zult weten, heeft Oracle zich in ruim 30 jaar ontwikkeld tot een partij die een totale suite aan producten levert om te voorzien in ICT-oplossingen. Aanvankelijk door het leveren van software componenten, zoals een omvattend database software product met 4GL. Later door het aanbieden van de Applications suite en uiteenlopende middleware technologieën. De meest recente stap is dat Oracle nu ook hardware aanbiedt, in verschillende smaken. Oracle zelf noemt het “Hardware and software engineered to work together”. Exact het credo waarmee Apple al sinds de jaren 70 schermt, en de afgelopen jaren ook groot mee is geworden. (meer…)

Oracle Database Express Edition: nooit op productie

Marcel-Jan Krijgsman, 7 november 2011

Als je een Oracle database nodig hebt, dan heb je keuze uit verschillende edities. De keuze voor een editie hangt af van de gewenste features en er is een kostenafweging. Enterprise Edition is vaak de keuze voor data warehouses en als je Data Guard nodig hebt. Ook heb je Enterprise Edition nodig als je bepaalde Enterprise Manager packs gebruikt, zoals Diagnostics Pack en Tuning Pack. Standard Edition is een stuk goedkoper en als je geen bijzondere features uit Enterprise Edition nodig hebt, waarom niet? Veel klanten van ons werken er zonder moeite mee.

En dan is er nog Oracle Database Express Edition (XE) en die is gratis. Er zijn wat beperkingen aan (max 1 Gb geheugen en 11Gb user data), maar voor een gemiddelde applicatie voldoet hij prima. Bovendien is Oracle 11g Release 2 XE al uit.

Toch zal ik Express Edition nooit aanbevelen voor een productie systeem. De reden is beveiliging. Bij Oracle XE heb je geen support contract en dus kun je geen patches downloaden. Dus kun je qua beveiliging loop je meer en meer achter. (meer…)

Embedded Oracle database – deel 2

Ruud de Gunst, 31 oktober 2011
Dit is deel 2 van een reeks van 2 artikelen in de serie Embedded Oracle database

Laten we eens kijken naar een configuratie met een single-instance database. Met alles wat er op dit moment in Oracle 11g Release 2 aan mogelijkheden aanwezig is, kun je heel goed een zero-maintenance embedded database configureren. D.w.z. een near-zero-maintenance database, want problemen zullen in potentie altijd aanwezig zijn, al was het alleen maar omdat hardware en software door mensen ontworpen en gemaakt worden. Dus 100% uptime en geen onderhoud is vooralsnog een illusie.

Je kunt echter een heel eind komen door tevoren je installatie in een test situatie goed te configureren voor hoge beschikbaarheid en minimaal beheer, en (production-like) stress testen te doen. Deze laboratoriumopstelling vormt uiteindelijk de basis voor distributie van de database samen met de applicatie. (meer…)

Embedded Oracle database – deel 1

Ruud de Gunst, 21 oktober 2011
Dit is deel 1 van een reeks van 2 artikelen in de serie Embedded Oracle database

Onlangs vroeg mij iemand: wat weet jij eigenlijk van Oracle als embedded database? Mmm… embedded als in: mijn applicatie heeft een database-je nodig, laat ik er eens Oracle RDBMS bij integreren? Ja dus, Oracle als embedded database, op een plek waar producten als Firebird, SQLite of Berkeley DB hun sporen verdiend hebben, maar waar de functionaliteit van die databases tekort schiet t.a.v. de functionele en niet-functionele eisen die gesteld worden door de applicatie. (meer…)

Hoe performance tuning veel geld bespaart

Marcel-Jan Krijgsman, 26 september 2011

De applicatiebeheerder van een van onze klanten, ROC Aventus, belt ons Remote Beheer Centrum: of we eens willen kijken naar de performance van een Portal applicatie. ROC Aventus is met 200 beroepsopleidingen en 1.300 medewerkers de grootste onderwijsaanbieder in de Stedendriehoek Apeldoorn, Deventer en Zutphen. Zo’n 9000 studenten moeten aan het begin van het leerjaar hun rooster kunnen ophalen.

Dat is een piekbelasting waar de applicatie tot voor kort niet zo goed mee om kon gaan. De achterliggende Oracle 10g database stond vanwege zijn slechte performance eigenlijk al op de nominatie om uitgefaseerd te worden, maar zoals het onlangs performde, moest er onmiddellijk maatregelen genomen worden. (meer…)

Oracle-dienstverlener voorbereid op verwachte groei in remote beheerdiensten

Transfer Solutions, 9 september 2011

Transfer Solutions neemt komende week een gloednieuw monitoring systeem in gebruik. Hierdoor is de Nederlandse Oracle-dienstverlener voorbereid op de verdere verwachte groei in remote beheerdiensten.

Transfer Solutions is in Nederland marktleider op het gebied van (remote) beheer van Oracle-infrastructuren. Het bedrijf beheert voor bijna 100 verschillende opdrachtgevers OS, databases, middleware en applicaties. De opdrachtgevers variëren van MKB en gemeentes, die zich geen eigen beheerder willen of kunnen veroorloven, tot grote verzekeringsmaatschappijen, logistieke bedrijven en banken. Middels zelf ontwikkelde monitoring software (zie eerder artikel in Computable) worden 7*24 uur honderden controles uitgevoerd. Wanneer een technisch probleem dreigt op te treden, ontvangt het Remote Beheer Centrum automatisch een bericht. Ervaren Oracle-DBA’s die het centrum bemensen, bellen vervolgens bij de opdrachtgever in en ondernemen actie. Het Remote Beheer Centrum is 7*24 uur operationeel en werkt volgens vast omlijnde beheerprocessen (ITIL). De dienst wordt aangeboden op basis van een tevoren overeengekomen SLA en bijbehorende abonnementsprijs.

De groei in deze tak van dienstverlening is – ondanks concurrentie uit India en andere offshore landen – enorm. Veel opdrachtgevers geven de voorkeur aan Nederlandstalige ondersteuning en aan consultants die bij calamiteiten ook on site kunnen komen werken. Daarnaast zoeken veel bedrijven in een kwakkelende economie naar mogelijkheden om te besparen op beheer. De business case valt bij remote beheer eigenlijk altijd positief uit voor een opdrachtgever.

De groei in omvang en technologieën van remote beheerdiensten maakte het voor Transfer Solutions noodzakelijk om een nieuw monitoring systeem te ontwikkelen. Naast het monitoren van Oracle-infrastructuren kunnen nu ook OS en SQL Server worden beheerd. Op deze manier wil Transfer Solutions zich onderscheiden als one-stop-shop van beheerdiensten. Het nieuwe systeem (Retina) is – hoe kan het ook anders bij een Oracle-dienstverlener – volledig ontwikkeld met Oracle-technologie. “Eat your own dog food”, zegt Larry Ellison – topman van Oracle – regelmatig. Met de oplevering van Retina kan Transfer Solutions sneller en flexibeler inspringen op klantvragen. Daarnaast is Retina een expertsysteem. Middels een geavanceerd zoekalgoritme kunnen de DBA-specialisten zoeken in een knowledge database, waarin jaren ervaring met remote beheer is opgeslagen.

Retina is een andere naam voor het netvlies van het oog. Met deze nieuwe software heeft Transfer Solutions de klantomgeving nóg beter op het netvlies.

Dumping data very fast

gert-jan.paulissen, 3 augustus 2011

Some time ago I was working for a customer where data needed to be dumped to files very quickly (Oracle 10g). The data was retrieved using any SQL query. The initial attempt was to use a Java program using JDBC. The Java program was called by the Java engine in the Oracle database. This was a very efficient way … for us programmers. But not performance wise.

So the next attempt was to invoke the Java program from the server again using the Java engine in the database. This was much better since it was at least 10 times faster. It seems the Java engine in Oracle 10g has a large overhead when doing file I/O. So the server invocation method was implemented and everybody was satisfied. But not me. (meer…)

Poor man’s synchronization

Phil, 8 juli 2011

Recently a customer presented me with the following challenge: they wanted data to be synchronized from HQ to a remote site and in both ways. But they had one big limitation. There was only budget for Standard Edition of the Oracle database. That ruled out a lot of Enterprise Edition features and separately licensed options like Advanced Queueing, Streams and advanced features of materialized views. Even Oracle Golden Gate would be too expensive in the customer’s situation. So a hand built mechanism is provided by Transfer Solutions.

Overview

At HQ data is stored in several Oracle tables. These modifications are logged in a send table. On regular intervals this send table is read from the remote site. The data is copied and applied to the database at remote. This process is equally implemented for metadata from remote on the HQ site. Due to a network latency of 200ms both sites have their own system. These systems have to be synchronized at all times.

In the next figure an overview of the mechanism is shown. (meer…)

SQL-statements met te veel bind variables: ook niet goed

Marcel-Jan Krijgsman, 1 juli 2011

Laatst werd ik gevraagd om bij een klant van een klant te gaan kijken naar de performance. Applicatie X had een database op een server met 8 CPU’s en query’s van applicatie X wisten deze CPU’s 100% te belasten. Nu was de database van applicatie X maar een van de velen, maar al die andere applicaties hadden last van de query’s van applicatie X.

De DBA’s ter plekke hadden met Oracle’s Diagnostics Pack al haarfijn uitgezocht welke query’s verantwoordelijk waren voor de ellende. (meer…)

Eerdere artikelen »