Der übliche Rhythmus für das Erscheinen von Security Patch Updates (SPUs) und Patch Set Updates (PSUs) betrifft mit dem gestern, am 15. Oktober, erschienen Update erstmals die neue Datenbankversion 12c. Allerdings werden die Administratoren von einer Neuerung überrascht: Die vor einigen Monaten erst von Critical Patch Updates (CPUs) in Security Patch Updates umbenannten Pakete werden abgeschafft — für 12c und zukünftige Versionen wird es ausschließlich Patch Set Updates geben. Das unterstützt einerseits die bei vielen Installation gängige Praxis, eben diese PSUs mehr oder weniger regelmäßig einzuspielen, beraubt Administratoren von sicherheitsrelevanten Systemen aber der Möglichkeit, exakt die geforderten (Sicherheits-) Patches einzuspielen. PSUs enthalten neben Sicherheits-Patches auch weitere Patches, die laut Oracle folgenden Bedingungen genügen:
- Die Patches werden extrem gut von Oracle kontrolliert und getestet.
- Die Auslieferung als Patch Bundle reduziert Konflikte bei der Patch-Installation.
- Dadurch, dass API-Änderungen, Optimizer-Änderungen usw. ausgeschlossen sind, sind nur minimale Funktionstests für die Inbetriebnahme notwendig.
Da diese Eigenschaften für die PSUs der Vergangenheit durchaus zutreffen, sind diese bei den DBAs durchaus sehr beliebt. Diejenigen, die in der Vergangenheit trotzdem lieber CPUs/SPUs eingespielt haben, sollten sich also an die neue Vorgehensweise gewöhnen.
Für Oracle 11g wird es bis zum Ende der Laufzeit weiterhin SPUs geben.
Eine der zentralen Fragen bei den SPUs und PSUs ist grundsätzlich, ob diese unbedingt eingespielt werden sollen. Oft lässt sich das durch einen Blick in die Risikomatrix klären: Wenn bei den eingesetzten Produkten keine Schwachstellen mit hohem Risiko vorhanden sind, kann man gegebenenfalls darauf verzichten.
Diesmal ist mit CVE-2013-3826 eine Schwachstelle vorhanden, die es ermöglicht ohne Passwort über Netzwerk auf Datenbankinhalte lesend zuzugreifen. Betroffen sind alle aktuell unterstützten Oracle-Versionen. Daher empfehle ich ausdrücklich, das aktuelle Update, in welcher Form auch immer, einzuspielen. In einer Anmerkung zu dieser Schwachstelle verweist Oracle auf die Tatsache, dass die Verschlüsselung von Oracle Net-Verbindungen nicht mehr Bestandteil der Advanced Security Option ist, sondern für alle Editionen kostenlos zur Verfügung steht. Dies ist wohl ein erneuter Hinweis darauf, dass Oracle den Anwendern die Verschlüsselung von Verbindungen an die Datenbank stärkstens empfiehlt.