Neues vom SYSAUX-Tablespace Vol. II

Vor einiger Zeit hatten wir ja schon einmal über die Freuden der Objektverwaltung im SYSAUX-Tablespace berichtet (s. HIER).

Heute aus aktuellem Anlass eine kleine Geschichte für all jene, die sich auch darüber wundern, warum Abfragen gegen Data Dictionary Views, hier insbesondere diejenigen, die den Job Scheduler betreffen, immer so lange dauern. Es könnte evtl. an diesem Umstand liegen:

Weiterlesen

Oracle Produkte und die log4j-Sicherheitslücke (CVE-2021-44228 „Log4Shell“, CVE-2021-45046 und CVE-2021-45105)

Letzte Änderung dieses Blog Posts: 13.1.2022 8:45

Die Sicherheitslücken CVE-2021-44228 „Log4Shell“, CVE-2021-45046, CVE-2021-45105 sowie CVE-2021-44832 betreffen die Java-Komponente log4j der Apache Foundation.

Der Patch für die erste Sicherheitslücke CVE-2021-44228 in Form der log4j-Version 2.15 war nicht vollständig, so dass am 14.12.2021 CVE-2021-45046 für diese Version veröffentlicht wurde. Alle Patches, die log4j 2.15 enthalten, sind somit hinfällig. Dies gilt nun auch für die Patches, die log4j 2.16 enthalten, da am 19.12.2021 mit CVE-2021-45105 eine weitere Lücke hinzugekommen ist, die DOS-Angriffe auf ungepatchte Installationen ermöglicht. Diese Lücke ist mit log4j 2.17 beseitigt. Die aktuellste Version für log4j ist 2.17.1 und enthält zusätzlich Fixes bzgl. CVE-2021-44832.

Die Log4Shell Sicherheitslücke betrifft sehr viele Oracle Produkte. Das ursprüngliche zentrale Dokment bei Oracle (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle Products and Services (CVE-2021-44228, CVE-2021-45046) (Doc ID 2827611.1)) verweist nun auf zwei Unterdokumente, je eines für die Oracle Cloud (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle cloud environments (CVE-2021-44228, CVE-2021-45046) (Doc ID 2830129.1)) und für On-Premises-Produkte (Impact of December 2021 Apache Log4j Vulnerabilities on Oracle on-premises products (CVE-2021-44228, CVE-2021-45046) (Doc ID 2830143.1)). Hier gibt es einen Überblick über alle vorhandenen und geplanten Patches, sowie über Produkte, die keinen Patch benötigen. In diesem Blog Post fassen wir zusammen, was wir über die wichtigsten (On-Premises-) Produkte wissen und welche Vorgehensweise wir empfehlen. Sobald wir relevante neue Informationen bekommen werden wir diese hier einfließen lassen.

Weiterlesen

Oracle Java wieder mit kostenfreiem JDK

Seit Oracle die das Java Java Development Kit vor einigen Jahren in eine kostenpflichtige Subscription verwandelt hat, gab es diverse kontroverse Diskussionen darüber. Im Gegensatz zum wahrscheinlich von Oracle erwarteten Effekt, dass jetzt alle Java-Nutzer Subscriptions abschließen (und bezahlen) würden, war offenbar eher das Gegenteil der Fall: viele User wendeten sich von Oracle Java ab und kostenlosen OpenSource-Alternativen zu. Doch nun gibt es neue Nachrichten:

Weiterlesen

DPLOAD-Patch für 19.10 – aber (noch?) nicht für Windows

Oracle hat vor einigen Tagen einen Merger-Patch für das RU 19.10 herausgebracht. Dieser soll bekannte Performance-Probleme bei der Verwendung von dpload.sql (im Zusammenhang mit datapatch) beheben. Ob dies tatsächlich der Fall ist, kann man leider unter Windows nicht herausfinden – denn obwohl der Patch Nr. 32551008 als „generic“, also für alle Plattformen, deklariert ist, funktioniert die Installation nicht unter Windows.

Weiterlesen

Neues vom SYSAUX-Tablespace…

Der SYSAUX-Tablespace wurde von Oracle in der Version 10g eingeführt. Hier werden diverse sog. „Auxiliary“ Objekte gespeichert, die Oracle-eigenen Schemata zuzuordnen sind. Die Menge der enthaltenen Objekte sowie der Platzbedarf hängen u.a. von der Anzahl der in der Datenbank installierten Komponenten ab. In der Regel sind diese unkritisch – es kann aber vorkommen, dass der Platzbedarf im SYSAUX-Tablespaces plötzlich stark ansteigt, ohne dass etwas neues installiert oder überhaupt irgendetwas getan wurde.

Weiterlesen

Oracle Database Appliance X6-2 – ein Erfahrungsbericht

Welche Firma kennt nicht die Situation der Hardwareentscheidung? Die vorhandenen Server sind in die Jahre gekommen und abgeschrieben, sodass nun ein Ersatz angeschafft werden muss. Dabei soll natürlich die Leistung verbessert werden. Aufgrund des Zuwachses von immer mehr Kernen pro Sockel wird dieser gewünschte Effekt erzielt. Dieser Fakt hat jedoch auch einen kleinen Nachteil. Die Enterprise Edition, welche linear von der Anzahl der vorhandenen Kernen abhängig ist, erfordert somit auch einen Zukauf an Lizenzen. Die SE2 Edition darf nur auf Server mit maximal zwei Sockeln betrieben werden und ist zusätzlich softwareseitig auf 12 Threads begrenzt.

Aufgrund der erwähnten Problematik, greifen viele Firmen im ersten Schritt auf die Virtualisierung der Datenbankserver zurück. Doch genau in dieser Virtualisierung steckt bei der falschen Vorgehensweise die größte Gefahr einer Lizenzkostenexplosion. Der Grund liegt darin, dass Oracle zwischen einer Soft- und Hard-Partitioning unterscheidet. Während bei der Hard-Partitioning die CPU-Kerne auf dem Server begrenzt werden können, Stichwort Processor Pinning, ist es bei der Soft-Partitioning z.B. unter VMware möglich, nach Belieben Kerne einer virtuellen Maschine hinzuzufügen. Aufgrund dieser Möglichkeit muss in den meisten Fällen der gesamte Server lizenziert werden.

Zusätzlich ist dabei zu beachten, dass bei Live Migrationen, also der Verlagerung der virtuellen Server im laufenden Betrieb, die gesamte VMware-Umgebung lizenziert werden muss. Sind in dieser Umgebung physikalische Server vorhanden, welche mehr als zwei Sockel vorweisen, ist eine Enterprise Edition Lizenzierung unumgänglich. Das gravierende dabei: Es muss die gesamte VMware-Umgebung lizenziert werden.

Welche Hardware ist also die richtige?

Weiterlesen

Optimizer Adaptive Features in der Oracle Database Version 12.1

Die guten Ideen des Oracle Optimizer Development Teams haben in der Version 12.1 leider nicht immer zur Verbesserung der Performance geführt. Hierfür ist in vielen Fällen der Bereich Adaptive Statistics verantwortlich.

Weiterlesen

Oracle DB-Security & PCI-DSS Zertifizierung

Die IT-Sicherheit und im Speziellen die Datenbanksicherheit wurde in der Vergangenheit in vielen Fällen recht stiefmütterlich behandelt. Spätestens seit den NSA-Enthüllungen im Sommer 2013 bekam dieses Thema jedoch immer mehr Aufmerksamkeit und ist inzwischen ein ständiger Begleiter einer jeden IT-Lösung. Für Firmen, die mit Kreditkartendaten in Berührung kommen, sei es die Abwicklung von Transaktionen, die Übermittlung von Kreditkartendaten oder die Speicherung dieser Daten, ist das Thema Sicherheit und im speziellen die PCI-DSS- Zertifizierung kein Neuland mehr.

Weiterlesen