U bent hier: Home > Blog > Oracle

Wat u moet weten over Oracle’s recente security bug

Marcel-Jan Krijgsman, 11 mei 2012

Vorige week is een security bug in de Oracle database in het nieuws gekomen, bekend onder de code CVE-2012-1675. Omdat we vragen van meerdere klanten hierover gehad hebben, willen we in deze blogpost hier nog even op in gaan.

Wat is de bug?
Volgens de beschrijving van het security lek is het mogelijk buiten je database server een listener te configureren die als een remote listener geregistreerd wordt aan een database. Waarom heeft Oracle die funtionaliteit destijds toegevoegd? Antwoord: Real Application Clusters, of RAC. Een RAC bestaat nu eenmaal uit meerdere machines  met listeners die onderdeel maken van het RAC.

Een hacker kan een remote listener gebruiken om het netwerkverkeer naar de database af te luisteren.

Wat is de oplossing?
Gezien de aard van de bug, is het niet verwonderlijk dat Oracle twee oplossingen heeft: een voor single node databases (Oracle support ID 1453883.1) en een voor RAC databases (Oracle support ID 1340831.1).

Voor single node databases zijn er eigenlijk twee oplossingen. Er is een patch voor bug 12880299 voor TCP verkeer. Na patchen kunt u de parameter “SECURE_REGISTER_<listener_name> = (TCP)” aan de listener.ora toevoegen. De listener moet hiervoor herstart worden. Overigens hebben we nog geen Windows patch kunnen ontdekken. Merk ook op dat deze patch voor bug 12880299 pas in juli verschijnt als onderdeel van de volgende Critical Patch Update.

De andere oplossing voor single node is om de listener te registreren aan de database middels het IPC protocol in plaats van het TCP protocol. Voordeel is dat er geen patch nodig is. Er moeten wel de nodige wijzigingen in de listener.ora gedaan worden en de instance parameter local_listener moet voortaan werken over het IPC protocol. Een herstart van de instance is voor deze parameter niet nodig. De listener moet wel herstart worden.

Voor RAC databases is het onwenselijk dat remote listeners uitgesloten worden. Dus daar heeft Oracle een andere oplossing voor bedacht. Hiervoor wordt een beveiligde SSL verbinding gelegd tussen de listeners. Hiervoor moet een wallet aangemaakt worden op alle machines waar een listener draait. Er moet vervolgens een certificaat aangemaakt worden dat in de wallet wordt opgeslagen. De listener moet aangepast worden en de listeners moeten bekend worden in de instances m.b.v. de parameter remote_listener. Voor de details verwijs ik naar Oracle support ID 1340831.1.

Nu is het zo dat deze met SSL beveiligde verbindingen normaal gesproken vallen onder de Oracle Advanced Security optie en dit is een aparte licentie. Maar speciaal voor deze bug mag je deze functionaliteit van Advanced Security gebruiken zonder dat je de licentie hoeft te betalen. Dit betekent dus niet dat alles van de Advanced Security optie opeens gebruikt kan worden zonder licentie. Volg de instructies van Oracle support ID 1340831.1 dus goed op.

Wat is de impact op de beschikbaarheid van uw systemen?
Voor single node databases zal de listener een keer herstart moeten worden. Op RAC systemen zullen de SCAN listeners twee keer herstart moeten worden.

Moet u deze wijziging implementeren?
Ik zeg “ja”. Waarom? Security is zo sterk als de zwakste schakel. Dat alleen al is een reden om deze bug aan te pakken.

Ook weet ik niet of uw database servers zijn afgeschermd van de rest van uw netwerk en van Internet, of u Wifi verbindingen heeft die al of niet goed beveiligd zijn, of dat iemand binnen uw organisatie gebruik zou wil maken van deze bug om uw klantenbestand of een lijst van credit card nummers of gegevens over burgers mee te nemen, enzovoort, enzovoort. Kortom, om iets over het al of niet dichtzetten van een security bug te kunnen zeggen, moet je de hele stack goed kennen en de risico’s goed weten.

Iets dergelijks zal ik ook zeggen over Critical Patch Updates die Oracle elk kwartaal uitbrengt overigens.

Oracle Database Express Edition: nooit op productie

Marcel-Jan Krijgsman, 7 november 2011

Als je een Oracle database nodig hebt, dan heb je keuze uit verschillende edities. De keuze voor een editie hangt af van de gewenste features en er is een kostenafweging. Enterprise Edition is vaak de keuze voor data warehouses en als je Data Guard nodig hebt. Ook heb je Enterprise Edition nodig als je bepaalde Enterprise Manager packs gebruikt, zoals Diagnostics Pack en Tuning Pack. Standard Edition is een stuk goedkoper en als je geen bijzondere features uit Enterprise Edition nodig hebt, waarom niet? Veel klanten van ons werken er zonder moeite mee.

En dan is er nog Oracle Database Express Edition (XE) en die is gratis. Er zijn wat beperkingen aan (max 1 Gb geheugen en 11Gb user data), maar voor een gemiddelde applicatie voldoet hij prima. Bovendien is Oracle 11g Release 2 XE al uit.

Toch zal ik Express Edition nooit aanbevelen voor een productie systeem. De reden is beveiliging. Bij Oracle XE heb je geen support contract en dus kun je geen patches downloaden. Dus kun je qua beveiliging loop je meer en meer achter. (meer…)

Embedded Oracle database – deel 2

Ruud de Gunst, 31 oktober 2011
Dit is deel 2 van een reeks van 2 artikelen in de serie Embedded Oracle database

Laten we eens kijken naar een configuratie met een single-instance database. Met alles wat er op dit moment in Oracle 11g Release 2 aan mogelijkheden aanwezig is, kun je heel goed een zero-maintenance embedded database configureren. D.w.z. een near-zero-maintenance database, want problemen zullen in potentie altijd aanwezig zijn, al was het alleen maar omdat hardware en software door mensen ontworpen en gemaakt worden. Dus 100% uptime en geen onderhoud is vooralsnog een illusie.

Je kunt echter een heel eind komen door tevoren je installatie in een test situatie goed te configureren voor hoge beschikbaarheid en minimaal beheer, en (production-like) stress testen te doen. Deze laboratoriumopstelling vormt uiteindelijk de basis voor distributie van de database samen met de applicatie. (meer…)

Embedded Oracle database – deel 1

Ruud de Gunst, 21 oktober 2011
Dit is deel 1 van een reeks van 2 artikelen in de serie Embedded Oracle database

Onlangs vroeg mij iemand: wat weet jij eigenlijk van Oracle als embedded database? Mmm… embedded als in: mijn applicatie heeft een database-je nodig, laat ik er eens Oracle RDBMS bij integreren? Ja dus, Oracle als embedded database, op een plek waar producten als Firebird, SQLite of Berkeley DB hun sporen verdiend hebben, maar waar de functionaliteit van die databases tekort schiet t.a.v. de functionele en niet-functionele eisen die gesteld worden door de applicatie. (meer…)

Hoe performance tuning veel geld bespaart

Marcel-Jan Krijgsman, 26 september 2011

De applicatiebeheerder van een van onze klanten, ROC Aventus, belt ons Remote Beheer Centrum: of we eens willen kijken naar de performance van een Portal applicatie. ROC Aventus is met 200 beroepsopleidingen en 1.300 medewerkers de grootste onderwijsaanbieder in de Stedendriehoek Apeldoorn, Deventer en Zutphen. Zo’n 9000 studenten moeten aan het begin van het leerjaar hun rooster kunnen ophalen.

Dat is een piekbelasting waar de applicatie tot voor kort niet zo goed mee om kon gaan. De achterliggende Oracle 10g database stond vanwege zijn slechte performance eigenlijk al op de nominatie om uitgefaseerd te worden, maar zoals het onlangs performde, moest er onmiddellijk maatregelen genomen worden. (meer…)

Oracle-dienstverlener voorbereid op verwachte groei in remote beheerdiensten

Transfer Solutions, 9 september 2011

Transfer Solutions neemt komende week een gloednieuw monitoring systeem in gebruik. Hierdoor is de Nederlandse Oracle-dienstverlener voorbereid op de verdere verwachte groei in remote beheerdiensten.

Transfer Solutions is in Nederland marktleider op het gebied van (remote) beheer van Oracle-infrastructuren. Het bedrijf beheert voor bijna 100 verschillende opdrachtgevers OS, databases, middleware en applicaties. De opdrachtgevers variëren van MKB en gemeentes, die zich geen eigen beheerder willen of kunnen veroorloven, tot grote verzekeringsmaatschappijen, logistieke bedrijven en banken. Middels zelf ontwikkelde monitoring software (zie eerder artikel in Computable) worden 7*24 uur honderden controles uitgevoerd. Wanneer een technisch probleem dreigt op te treden, ontvangt het Remote Beheer Centrum automatisch een bericht. Ervaren Oracle-DBA’s die het centrum bemensen, bellen vervolgens bij de opdrachtgever in en ondernemen actie. Het Remote Beheer Centrum is 7*24 uur operationeel en werkt volgens vast omlijnde beheerprocessen (ITIL). De dienst wordt aangeboden op basis van een tevoren overeengekomen SLA en bijbehorende abonnementsprijs.

De groei in deze tak van dienstverlening is – ondanks concurrentie uit India en andere offshore landen – enorm. Veel opdrachtgevers geven de voorkeur aan Nederlandstalige ondersteuning en aan consultants die bij calamiteiten ook on site kunnen komen werken. Daarnaast zoeken veel bedrijven in een kwakkelende economie naar mogelijkheden om te besparen op beheer. De business case valt bij remote beheer eigenlijk altijd positief uit voor een opdrachtgever.

De groei in omvang en technologieën van remote beheerdiensten maakte het voor Transfer Solutions noodzakelijk om een nieuw monitoring systeem te ontwikkelen. Naast het monitoren van Oracle-infrastructuren kunnen nu ook OS en SQL Server worden beheerd. Op deze manier wil Transfer Solutions zich onderscheiden als one-stop-shop van beheerdiensten. Het nieuwe systeem (Retina) is – hoe kan het ook anders bij een Oracle-dienstverlener – volledig ontwikkeld met Oracle-technologie. “Eat your own dog food”, zegt Larry Ellison – topman van Oracle – regelmatig. Met de oplevering van Retina kan Transfer Solutions sneller en flexibeler inspringen op klantvragen. Daarnaast is Retina een expertsysteem. Middels een geavanceerd zoekalgoritme kunnen de DBA-specialisten zoeken in een knowledge database, waarin jaren ervaring met remote beheer is opgeslagen.

Retina is een andere naam voor het netvlies van het oog. Met deze nieuwe software heeft Transfer Solutions de klantomgeving nóg beter op het netvlies.

Triple presentation by Transfer Solutions on UKOUG

Albert Leenders, 20 juli 2011
Dit is deel 4 van een reeks van 4 artikelen in de serie UKOUG2011

We are very pleased and proud to announce that Peter de Vaal, Marcel-Jan Krijgsman and Oracle Ace René van Wijk from Transfer Solutions have been selected as speakers on the UK Oracle User Group Conference, UK’s largest conference on Oracle technology. The topics include Weblogic JVM Tuning, Database Security, and Migration from a traditional architecture to Oracle Fusion Middleware 11G.

Mr. de Vaal, Krijgsman and van Wijk are highly experienced Oracle experts, “serving the Oracle community”, as the UKOUG states on their website, and for many years. Transfer Solutions is a Netherlands based  service provider exclusively specialized in Oracle and Java technology.

Anyone interested more deeply in the topics mentioned above and not willing or able to wait until next December is welcome to participate in one of our classrooms, seminars or workshops. Contact us via +31 345 616 888 or info@transfer-solutions.com

We look forward to presenting for you 5th-7th December in Birmingham.

SQL-statements met te veel bind variables: ook niet goed

Marcel-Jan Krijgsman, 1 juli 2011

Laatst werd ik gevraagd om bij een klant van een klant te gaan kijken naar de performance. Applicatie X had een database op een server met 8 CPU’s en query’s van applicatie X wisten deze CPU’s 100% te belasten. Nu was de database van applicatie X maar een van de velen, maar al die andere applicaties hadden last van de query’s van applicatie X.

De DBA’s ter plekke hadden met Oracle’s Diagnostics Pack al haarfijn uitgezocht welke query’s verantwoordelijk waren voor de ellende. (meer…)

RMAN-20020 en -20021 bij cold backup

Eddy Jongejans, 26 mei 2011

Gegeven de volgende situatie: de database wordt cold gebackupt met het volgende script:

backup channel=disk01
incremental level 0
AS compressed backupset
copies = 1
DATABASE;
}
SQL 'alter database open';
allocate channel FOR maintenance device TYPE disk;
DELETE noprompt obsolete recovery window OF 13 days;
crosscheck backup;
DELETE noprompt expired backup;

(meer…)

Inbraak in een Oracle database detecteren met een honeypot

Marcel-Jan Krijgsman, 16 mei 2011

In februari kwam een inbraak in het nieuws bij beveiligingsbedrijf HBGary Federal. Dit bedrijf adviseert de Amerikaanse overheid hoe hun websites beveiligd moeten worden. Er waren voor die tijd aanvallen geweest van hackerscollectief Anonymous op bedrijven die WikiLeaks dwars zaten. De CEO van HBGary zei in de pers te weten wie de leiding achter Anonymous was en dat hij dit in de openbaarheid zou brengen. Hij had het nog niet gezegd of Anonymous begon een aanval tegen de websites van HBGary. Die aanval lukte op de site van HBGary Federal.

Om extra zout in de wonden de wrijven, deed een lid van Anonymous, een 15-jarig meisje, tegenover de site Ars Technica uit de doeken hoe de aanval gelukt was. Ze was begonnen met het zoeken van SQL injection lekken in de website. SQL injection is een methode waarin een hacker in een invoerveld of URL, of een andere plek waar data ingevoerd wordt, een stuk SQL toevoegt. Als de website/applicatie lek is voor SQL injection, kan het zijn dat een hacker met een UNION ALL een andere tabel kan uitlezen. Op deze manier las zij een gebruiker tabel uit, waaruit ze e-mail adressen van alle gebruikers haalde en ook versleutelde wachtwoorden. Die wachtwoorden wist ze te ontsleutelen, waarna ze met dat wachtwoord ook de mail van de CEO kon lezen en sturen, maar dat is een ander verhaal. Lees het artikel van Ars Technica maar eens.

(meer…)

Eerdere artikelen »