Unterstützt Oracle russische Krypto-Algorithmen?

Gerüchten zufolge unterstützt Oracle in zukünftigen Versionen der Datenbank für Transparent Data Encryption (TDE), DBMS_CRYPTO und vor allem für die Database Cloud neben 3DES und AES auch nationale Krypto-Algorithmen aus Russland und Südkorea: GOST und ARIA.

Bei GOST handelt es sich um einen sowjetischen Algorithmus aus den 1970’er Jahren. Ursprünglich streng geheim, wurde er seit 1990 heruntergestuft und letztlich 2010 als ISO-Standard eingereicht und analysiert. Es handelt sich um um eine symmetrische Block-Chiffrierung mit einer Blockgröße von 64 und einer Schlüssellänge von normalerweise 256 Bit.

ARIA wurde 2003 von einer Gruppe südkoreanischer Forscher entworfen und 2004 als südkoreanischer Standard definiert. ARIA ist ein 128bit Blockchiffre mit Schlüssellängen von 128 bis 256 Bit. ARIA steht seit 2011 auch als TLS-Erweiterung zur Verfügung.

SMU 1.3.0

Das Oracle Snap Management Utility (SMU) für die Administration von Snapshots und Klonen auf der ZFS Storage Appliance ist in der Version 1.3 erschienen. Damit können nun auch 12c Container-Datenbanken verwendet werden.

Neben der Unterstützung von Snap Cloning für Multitenant Databases bringt die neue Version weitere Features mit:

  • Clone Copy (Binärkopie der Quelldatenbank)
  • Standby Clone (Einrichtung von Data Guard aus einem Klon)
  • Incomplete Recovery (Point in Time Recovery einer Datenbank auf einen Zeitpunkt oder eine SCN zwischen zwei Snapshot Backups)
  • Refresh Clone (Ein Klon muss für einen Refresh nicht mehr neu angelegt werden)

Neuer Kerberos Stack: AD Authentifikation für Datenbank 12c

Wir haben in diesem Blog des öfteren die Empfehlung ausgesprochen, eine zentrale Benutzerverwaltung statt lokaler Benutzerkonten für den Zugang zu Oracle Datenbanken zu verwenden. Für Umgebungen mit bestehender Active Directory Infrastruktur bietet sich hierfür in erster Linie die AD-Anbindung über LDAP und Kerberos an.

Die Kerberos-Unterstützung ist bereits seit Version 7 der Oracle Datenbank vorhanden und gut dokumentiert. Für die Anbindung an Active Directory wird in der Regel ein Oracle LDAP-Server (OID oder OUD) verwendet, um die Oracle-spezifischen Einstellungen nicht im Active Directory Verzeichnis speichern zu müssen. Die Einrichtung dieser Komponenten mit der Datenbank 11gR2, dem Oracle Internet Directory als LDAP-Server und Microsoft Windows Server 2008 haben wir bereits in diesem Blog und in unserem Wiki beschrieben.

Oracle Wallets hacken

Oracle Wallets werden benutzt, um SSL Zertifikate, die dazugehörigen Schlüssel, aber auch Klartext-Passwörter (Secure Enterprise Password Store) abzulegen. Sie werden normalerweise durch ein Wallet-Passwort geschützt, das bei jedem Öffnen oder Auslesen eingegeben werden muß.

Um auch automatisiert mit Wallets arbeiten zu können, gibt es die Auto-Login-Funktion. Wird diese aktiviert, wird eine zusätzliche Datei im Wallet erzeugt, die sogenannte Single Sign On Datei (.sso). Diese ist ebenfalls verschlüsselt, aber nicht mit einem benutzerdefinierten Passwort, sondern mit einem Standard-Passwort. Auto-Login-Wallets werden in der Regel verwendet, um eine automatisierte Anmeldung an der Datenbank durchführen zu können, ohne dass ein Passwort im Klartext in Skripten, Konfigurationsdateien oder Umgebungsvariablen abgelegt werden muss.

Damit es nicht möglich ist, ein Wallet einfach zu kopieren und von einem anderen Rechner aus zu verwenden, gibt es die Auto-Login-Local-Funktion. Wird diese für ein Wallet eingestellt, so kann das Auto Login Wallet nur auf dem Rechner verwendet werden, auf dem es erzeugt wurde.

Enterprise Security mit LDAP und PKI – Varianten der zentralen Benutzerverwaltung für Oracle Datenbanken

Einleitung

Direkte Benutzerkonten und Passwörter in der Datenbank sind eine Sicherheits-Schwachstelle, da in der Regel keine eindeutige Zuordnung von natürlichen Personen zu Benutzerkonten möglich ist, keine unternehmenseinheitliche Sicherheitsregel durchgesetzt werden kann und ausgeschiedene Mitarbeiter nicht sicher und sofort aus sämtlichen Systemen ausgeschlossen werden können.

In diesem Artikel werden die verschiedenen Möglichkeiten aufgezeigt, Enterprise Single Sign On und Public Key Infrastructure (PKI) zu nutzen, um Datenbankbenutzer zu authentifizieren. Anhand von Projekterfahrungen aus der Praxis wird die Integration der Oracle Datenbank mit LDAP-Verzeichnissen (OID, OUD) und Microsoft ActiveDirectory mit und ohne Oracle Virtual Directory (OVD) erklärt sowie die Einführung von SmartCard-basierter PKI als Alternative vorgestellt.

CVSS score 10 im Oracle Critical Patch Upgrade

Im aktuellen Critical Patch Upgrade Oktober 2015  für die Datenbank 11.2.0.4 und 12.1 werden 154 Sicherheitslücken adressiert. Neben Problemen mit ILOM-Interfaces existieren gravierende Probleme in der Grid Infrastructure (GI):

cvss-oct15

Es ist wohl möglich, die gesamte Grid Infrastructure anzugreifen, ohne sich authentifizieren zu müssen. Hintergründe zum Angriffsvektor für CVE-2015-4863 wurden bisher nicht erläutert. Weiterhin ist zu befürchten, dass die zugrunde liegenden Probleme auch in älteren Versionen, für die keine Patches mehr veröffentlicht werden,  vorhanden sind.

Die versprochenen Patches sind aktuell in weiten Teilen noch nicht erreichbar bzw. auf der MOS-Note 2037108  nicht verlinkt.

Winterzeit – really?

Auch aktuelle SAP-Systeme müssen während der in Deutschland zweimal jährlich vorkommenden Zeitumstellung heruntergefahren werden.

Downtime

 

Recommendation

  • We always recommend a downtime during the switch from daylight saving time to winter time to avoid issues during the so called “double hour”.In this period the time does not run constantly and we cannot guarantee that the software can handle the situation if a point of time comes up twice.

Vergleiche: DAYLIGHT SAVING TIME OPTIONS IN SAP SYSTEM

Extended Support für 11.2.0.4 bis Ende Mai 2017

Oracle hat den kostenfreien Extended Support für die Datenbank 11.2.0.4 bis Mai 2017 erweitert.

Siehe auch: Oracle Software Technical Support Policies:

Exceptions – For customers with a current support contract running:

Oracle Database 11gR2: The Extended Support fee has been waived for the period of February 2015 – May 2017. During this period, you will receive Extended Support during these periods as described in the Oracle Technical Support Levels section below.