Aufgrund massiver Sicherheitslücken im im WebLogic Server war es notwendig, dass Oracle kurzfristig ein weiteres Critical Patch Update außerhalb der regelmäßigen Patch-Zyklen zur Verfügung stellt. Die Notwendigkeit zum Einspielen stellt sich für alle Nutzer der folgenden Systeme:

• Oracle WebLogic Server 11gR1 releases (10.3.1 and 10.3.2)
• Oracle WebLogic Server 10gR3 release (10.3.0) 
  
• Oracle WebLogic Server 10.0 through MP2        
• Oracle WebLogic Server 9.0, 9.1, 9.2 through MP3        
• Oracle WebLogic Server 8.1 through SP6         
• Oracle WebLogic Server 7.0 through SP7

Die aufgetretenen Sicherheitsbeanstandungen werden von Oracle folgendermaßen bewertet:

Der CVSS Base Score für WebLogic Server der Version 9.0 und höher auf Windows wird mit 10.0 (höchster Score) und der für WebLogic Server der Version 9.0 und höher auf Linux und Unix mit 7.5 Punkten bewertet. Alle anderen Versionen des WebLogic Servers (7.0 und 8.1) auf allen verfügbaren Plattformen werden mit dem CVSS Base Score in Höhe von 5.0 Punkten bewertet.

Der CVSS Base Score dient zur Bewertung der Sicherheitsrisiken die das vorliegende System bedrohen können. Dieser wird als “Niedrig” bewertet, wenn es sich um eine Punktemenge im Bereich 0-3.9, um “Mittel” wenn es sich um den Bereich 4.0 – 6.9 und “Hoch” wenn es sich in dem Bereich 7.0 und 10.0 bewegt. (Quelle: http://nvd.nist.gov/cvss.cfm Stand: 22.02.2010)

Nähere Informationen finden Sie hier:

http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0073.html

Wir empfehlen allen WebLogic-Nutzern dieses Sicherheits-Update unverzüglich einzuspielen.

 

WICHTIG! Nicht vergessen! Das "Critical Patch Update" für April 2010 wird ab dem 13.04.2010 zum Download bereit stehen.

Wir empfehlen unbedingt diesen CPU einzuspielen. Insbesondere bei Installationen unter Windows gab es in letzter Zeit mehrere erhebliche Sicherheitslücken mit dem höchsten Risikoscore von 10,0. Potentielle Angreifer können hier ohne viel Aufwand und ohne Authentifizierung direkt in die Datenbank eindringen. 

(Anmerkung der Redaktion: möglicherweise einmal mehr ein Grund über Linux als Betriebssystem nachzudenken!)

Sollten Sie Fragen zum CPU haben, zögern Sie nicht, uns anzurufen. Gern sind wir auch beim Einspielen des CPU behilflich.

Tipp: Tragen Sie sich doch schon einmal den nächsten CPU in Ihren Kalender ein!

Die nächsten Critical Patch Update Releases sind für folgende Daten vorgesehen:

• 13. April 2010
• 13. Juli 2010
• 12. Oktober 2010
• 18. Januar 2011

Das Critical Patch Update Advisory von Oracle finden Sie unter folgendem Link:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/...

Ausführungen und Informationen zu allen vorangegangenen und aktuellen Security Alerts finden Sie unter:

Diese Entscheidung können wir Ihnen leider auch nicht abnehmen. Jedoch können wir unsere ersten Erfahrungen mit Ihnen teilen und die sind durchweg positiv.

Das mit Datenbankversion 11gR2 neu veröffentlichte ASM Cluster File System (ACFS) stellt auf Basis des bewährten Automatic Storage Management (ASM) ein universell nutzbares Filesystem für alle Arten von Dateien - nicht wie bislang, nur datenbankspezifischen - zur Verfügung. Es umfasst alle wesentlichen Funktionen, die bislang nur durch zusätzlich eingesetzte Storage Management Software bereitgestellt wurden.

Zusätzlich zur Verwendung als Clusterfilesystem kommt ACFS auch als Volumemanager für lokale Filesysteme in Betracht. Oracle ACFS homogenisiert damit nicht nur den Softwarestack der Datenbankserver in einer weiteren Schicht, sondern spart zudem erhebliche Kosten ein.

ACFS bietet in der Version 11.2 u.a. folgende Features:

• Die Verwendung einer 64-bit-Adressierung ermöglicht Kapazitäten im Exabyte-Bereich.
• Eine logbasierte Transaktionsverwaltung sichert Filesystemintegrität und schnelles Recovery.
• Daten im ACFS werden endian-unabhäng gespeichert und sind damit leichter zwischen bislang endian-unverträglichen Plattformen (z.B. Intel <-> Sparc) portierbar. Der ASM Dynamic Volume Treiber unterstützt dynamische Online-Vergößerung und -Verkleinerung des Filesystems und kann auch das Volumemanagement für nicht-ACFS-Filesysteme übernehmen.
• ACFS-Filesysteme sind per CIFS oder NFS exportierbar und können damit sowohl in entfernte Windows- als auch Unix-Systeme eingebunden werden. Mittels ASM Filesystem Snapshots können point-in-time-Kopien des Filesystems, z.B. für Backups, Reportingzwecke oder präventiv für das Wiederherstellen versehentlich gelöschter Dateien erstellt werden.
• ASM Intelligent Data Placement überwacht das Zugriffsverhalten der Platten und plaziert häufig angefragte Daten in performantere Diskbereiche. Sämtliche Verwaltungsaufgaben für ACFS, ASM Dynamic Volume und ASM File Access Control sind in den Enterprise Manager integriert.
  

ACFS darf, da Bestandteil der Oracle Grid Infrastructure, ohne Zusatzkosten auf Maschinen eingesetzt werden, die mindestens eine der folgenden Bedingungen erfüllen:

• Für das Betriebssystem liegt ein gültiger Oracle Unbreakable Linux Supportvertrag vor.
• Im betreffenden Cluster wird die Oracle Database Standard Edition oder Enterprise Edition betrieben.
• Die Oracle Clusterware, ebenfalls Bestandteil der Oracle Grid Infrastructure, wird zur Verwaltung einer Software eingesetzt, die entweder von Oracle stammt oder auf einer Oracle Datenbank arbeitet.

Autor: Thilo Solbrig

Wer sich heutzutage vor der Wahl sieht, hochverfügbare Services bereitzustellen hat es nicht leicht. Es gibt eine Vielzahl an verfügbaren - mehr oder weniger gut integrierbaren – Lösungen verschiedenster Anbieter. Davon sind im Normalfall alle Servicekomponenten betroffen: vertikal wie horizontal, abhängig von den Nutzungs- und Eskalationsszenarien. Bei der Betrachtung von Application Servern betrifft das also auch die folgenden Schichten: Hardwareplattform, Virtualisierungsplattform, Netzwerkkomponenten, Datenbanken, Storagesysteme, WebServer, Dateisysteme, Mailserver, externe Schnittstellen aller Art usw.
Aus dieser Perspektive wird klar, dass ein Großteil der Betriebskosten in der Integration, Skalierbarkeit, Wartung und dem Support all dieser Schnittstellen liegt.
Hier kann man mit Oracle und insbesondere den Oracle Fusion Middleware Komponenten der Oracle WebLogic Suite eigentlich nichts falsch machen.

Die Installation von Oracle WebLogic Servern in einer Clusterumgebung (Grid) mit oder ohne Oracle VM - Virtualisierung ist verhältnismäßig einfach und komfortabel. Über die webbasierte Administrationskonsole läßt sich der Cluster sehr gut verwalten. Performance-Probleme kann man bspw. bei größeren Clustern bekommen, wenn man die integrierte JRockit-VM nicht nutzt und stattdessen auf Suns VM setzt (die offiziellen Angaben reden hier von bis zu 3-fachem Performancegewinn).

Die Integration mit Oracle RAC-Clustern ist prinzipiell sehr einfach über JDBC-Schnittstellen möglich. Allerdings muß man bei der Wahl der richtigen Failover- bzw. Load-Balancing-Lösung aufpassen. Je nach Anwendungsfall bieten Multi-DataSources, Fast Connection Failover – Verbindungen (FCF) oder Universal Connection Pooling (UCP) verschiedene Vor- und Nachteile. Zu Beachten ist bspw., dass UCP noch nicht offiziell unterstützt wird.

Das ebenfalls integrierte Apache WebServer Plugin ist für Load-Balancing und Failover recht gut in die Clusterumgebung integriert. Bei größeren Umgebungen sollte man allerdings über einen Hardware-Loadbalancer nachdenken. Einschränkungen hat man hier bspw. in Umgebungen, wo rollende Applikationsupdates gefahren werden, da nur die Verfügbarkeit des Clusterknotens und nicht der Applikation selbst geprüft werden. An dieser Stelle muss zusätzlich Hand angelegt werden.
Die Integration von Oracle WebLogic Server, Oracle Application Development Framework (ADF) und JDeveloper ist sehr gut und gestattet es dem Anwendungsentwickler  sich auf die komfortable Implementierung von Anwendungsszenarien zu konzentrieren. Er erspart sich dadurch, sich intensiv mit Details der verschiedenen darunterliegenden Java Enterprise Technologien zu beschäftigen.

Übersichtlichkeit, eine starke Wysiwyg- und Wizard-Orientierung, Standardkonformität, gute Dokumentation sowie Robustheit können hier als entscheidende Faktoren für den Erfolg von ADF gesehen werden. Dennoch bleibt zu wünschen, dass sich der doch etwas behäbige, fehleranfällige und gewöhnungsbedürftige JDeveloper mehr an etablierte Eclipse- oder Suns NetBeans-Umgebungen annähert. Wer weiß, was die Acquisition von Sun hier noch für Potentiale eröffnet.

Weiterführende Informationen finden Sie auch auf unseren Oracle WebLogic Seiten.

Autor: Andreas Dietrich

Mit der Umstellung von Oracle MetaLink auf My Oracle Support gibt es einige Verbesserungen. Zwar war es praktisch schon immer möglich telefonischen Kontakt mit dem Bearbeiter eines Service Requests aufzunehmen, jedoch war dazu ein schriftliches Update mit de rBitte um Rückruf erforderlich. Mit der Umstellung auf My Oracle Support ist dieses Verfahren erweitert und verbessert worden, um die direkte Erreichbarkeit des Service Request Bearbeiters zu ermöglichen. Der "alte" Weg funktioniert natürlich weiterhin, jedoch ist es jetzt auch möglich den Support Mitarbeiter direkt zu einem bestehenden SR anzurufen.

Folgende Schritte sind dazu zu beachten:
Während der deutschen Bürozeiten zwischen 08:30 bis 17:30 Uhr:

1. Rufen Sie die Oracle Hotline unter der folgenden Telefonnummer an 0180 2000 170
   
2. Wählen Sie im Telefonmenü die folgenden Optionen a. 1 = Anfrage in Englisch oder 2 = Anfrage in Deutsch b. 1 = technischen Anfrage
   c. Auswahl der Produktgruppe
         1 = Oracle / BEA
         2 = Exadata
         3 = JD Edwards
         4 = Peoplesoft
         5 = Siebel
         6 = Hyperion
         7 = CRM On Demand
         8 = alle anderen Produkte
   
3. Geben Sie an, ob Sie wegen einer existierenden technischen Anfrage (1) oder eines neuen SRs (2) anrufen
   
4. Geben Sie alle Ziffern der SR Nummer über die Telefontastatur ein
   
5. War die Eingabe korrekt (1) oder inkorrekt (2)
   
6. Wenn der Support Mitarbeiter verfügbar ist werden Sie direkt durchgestellt, falls nicht können Sie eine Nachricht hinterlassen (1) oder sich mit einem anderen Mitarbeiter verbinden lassen (2)

Die gleiche Verfahrensweise gilt außerhalb der deutschen Bürozeiten zwischen 17:30 und 08:30 Uhr, Wochenende und Feiertags, wobei diese Anfragen nur in englischer Sprache entgegen genommen werden:

1. Rufen Sie die Oracle Hotline unter der folgenden Telefonnummer an 0180 2000 170
   
2. Wählen Sie im Telefonmenü die folgenden Optionen
   1 = Anfrage in Englisch Die weitere Vorgehensweise entnehmen Sie bitte der obigen Beschreibung ab dem Punkt 2-b