News
DBA-Tipp: Oracle Advanced Security SSL/TLS kostenlos für RAC Nutzer

Die Information ist ein schnelllebiges Gut. Jeden Tag werden wir mit hunderten Informationen zugemüllt. Deshalb sind wir bestrebt uns auf das Wesentliche zu konzentrieren und nur substantiell nachhaltige Informationen bereitzustellen.

Icon Unternehmen

Aufgrund eines aktuellen Sicherheitsproblems stellt Oracle die Funktion Oracle Advanced Security SSL/TLS für alle Nutzer, die die Funktionalität Oracle Real Application Clusters (RAC) als Option der Oracle Datenbank Enterprise Edition sowie unter Standard Edition nutzen, kostenlos zur Verfügung!

Hintergrund für diese Aktion ist eine im aktuellen Security Alert von Oracle gemeldetet Sicherheitslücke im TNS Listener der Datenbank-Management-Systeme. Diese Schwachstelle, die bereits 2008 vom spanische Sicherheitsforscher Joxean Koret an Oracle gemeldet wurde, macht es einem Angreifer prinzipiell möglich, diverse Aktionen ohne Autorisierung auf einem Datenbank-Server auszuführen. Angriffspunkt ist der schon genannte TNS Listener, der für das Routing von Verbindungen zwischen Datenbank-Server und Clients verantwortlich ist. Klinkt sich ein Angreifer in eine bestehende Verbindung ein, ist es ihm nicht nur möglich, angefragte Daten abzufangen, sondern auch einfache Kommandos an den Server abzusetzen, damit dieser Datensätze hinzufügt, löscht oder modifiziert.

Die Schwachstelle findet sich in den Oracle Datenbank Versionen 10.2.0.3 bis 11.2.0.3 sowie in den Datenbank Komponenten unter Oracle Fusion Middleware, im Oracle Enterprise Manager und in der E-Business Suite.

Oracle hat sich hier nun offenbar dafür entschieden, keinen Patch anzubieten, sondern das Problem mit einem Workaround, der eben die kostenlose Nutzung des Oracle Advanced Security SSL/TLS Features mit sich bringt, zu begegnen.

Die Meldung von Oracle können Sie im Detail nochmals nachlesen im

Oracle Technet

Und unter folgendem Link gelangen Sie direkt zu My Oracle Support, wo beschrieben wird, wie Sie entsprechende Restriktionen für Zugriffe in einer RAC Infrastruktur vornehmen können. Die MOS-Note lautet 1340831.1

My Oracle Support

Selbstverständlich steht Ihnen der ASPICON Support sowie der Lizenzierungsservice für Rückfragen zu diesem Thema jederzeit gern zur Verfügung.