SIG Security am 3.3.2011<br />
Katja Werner, Consultant<br />OPITZ CONSULTING München GmbH<br />Critical Patch Update und Patch Set Update<br />Überblick...
Agenda<br />Überblick<br />Installation<br />Hätten Sie es gewusst?<br />Zusammenfassung<br />
1<br />Überblick<br />
Begriffsklärung<br />Security Alerts<br />Critical Patch Updates (CPU)<br />Securitypatches<br />Umstieg auf PSU möglich<b...
Muss ich den CPU einspielen?<br />Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan201...
ScreenshotRiskmatrix<br />
Muss ich den CPU einspielen?<br />Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan201...
Gefixte Schwachstellen für Datenbanken in den CPUs seit 2005<br />
Oracle 11.1.0.7, Windows 64-bit, Bundle Patch<br />Patchnummer 10350788<br />PSU und CPU January 2011 AvailabilityDocument...
Ebenso sind die Schriftarten als „OC 2009“ hinterlegt.
Die  Standardfarben sind:</li></ul>Oracle 11.1.0.7, Windows 32-bit, Bundle Patch<br />Patchnummer 10350787<br />Oracle 11....
Zusammenfassung – Überblick<br />CPU – PSU – Bundlepatch<br />Riskmatrix oder CPU-Info helfen bei Einschätzung der Gefährd...
2<br />Installation<br />
Vorbereitung der Installation<br />Downloads:CPU-Patch + Readme ins PatchverzeichnisAktuelles Opatch-Utility nach $ORACLE_...
Ein Blick in das OPatch-Directory<br />
Überblick über das OPatch-Utilityopatch -help<br />
opatch lsinventory -all<br />
Installationsüberblick<br />Herunterfahren von DB und Listener<br />Patchen der Oracle Binaries mit CPU Januar 2010<br />S...
Patchen der Oracle Binaries (CPUJan2010):opatchnapply -skip_subset -skip_duplicate<br />
Patchen der Oracle Binaries - Ende<br />
Prüfung, ob Binarieswirklich gepatcht:opatchlsinventory -all<br />
Patchen der DB: SQL> @catbundle.sqlcpuapply<br />
Patchen der DB - Ende<br />
Prüfung, ob DB wirklich gepatcht:select * fromsys.registry$history;<br />
Installieren eines aktuelleren Patches:Binaries – Output zu Beginn<br />
Erneutes Patchen der Binaries (CPUJan2011):opatchnapply -skip_subset -skip_duplicate<br />
Erneutes Patchen der DB: Output von select * fromregistry$history;<br />
Rollback<br />Zurückrollen aller Patches:aus Patchdirectory: opatchnrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_...
SYS.REGISTRY$HISTORY nach Rollback<br />
Was tun bei Konflikten?<br />N-apply CPU = Gruppen (Moleküle) von unabhängigen Patches, die nicht miteinander kollidieren<...
Zusammenfassung – Installation<br />Immer Binaries UND Datenbank patchen <br />opatch lsinventory –all und sys.registry$hi...
3<br />;-)	Hätten Sie es gewusst?<br />
Nächste SlideShare
Wird geladen in …5
×

Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - Katja Werner

2.279 Aufrufe

Veröffentlicht am

In diesem Vortrag wird zum einen ein Überblick und eine Begriffsklärung zum Thema CPU/PSU gegeben. Zum anderen wird gezeigt, wie man patcht und welche Dinge dabei beachtet werden sollten.OPITZ CONSULTING Beraterin Katja Werner hielt diesen Vortrag bei der DOAG SIG Security am 3.3.2011.

Veröffentlicht in: Technologie, News & Politik
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.279
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - Katja Werner

  1. 1. SIG Security am 3.3.2011<br />
  2. 2. Katja Werner, Consultant<br />OPITZ CONSULTING München GmbH<br />Critical Patch Update und Patch Set Update<br />Überblick und Installation am Beispiel des Oracle Datenbankservers<br />Oracle SIG Security, München, 3.3.2011<br />
  3. 3. Agenda<br />Überblick<br />Installation<br />Hätten Sie es gewusst?<br />Zusammenfassung<br />
  4. 4. 1<br />Überblick<br />
  5. 5. Begriffsklärung<br />Security Alerts<br />Critical Patch Updates (CPU)<br />Securitypatches<br />Umstieg auf PSU möglich<br />Patch Set Updates (PSU)<br />Security- und funktionale Patches<br />einmal PSU immer PSU <br />Bundlepatches für Windows<br />
  6. 6. Muss ich den CPU einspielen?<br />Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html<br />
  7. 7. ScreenshotRiskmatrix<br />
  8. 8. Muss ich den CPU einspielen?<br />Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html<br />Internetrecherche<br />Oder:<br />CPU-Info von OPITZ CONSULTING und Red Database Security:http://www.opitz-consulting.com/veroeffentlichungen/cpu_info.php<br />
  9. 9. Gefixte Schwachstellen für Datenbanken in den CPUs seit 2005<br />
  10. 10. Oracle 11.1.0.7, Windows 64-bit, Bundle Patch<br />Patchnummer 10350788<br />PSU und CPU January 2011 AvailabilityDocumentfür E-Business-Suite (Support Note 1271167.1)<br />PSU und CPU January 2011 AvailabilityDocument für Oracle PeopleSoft Enterprise and Oracle Supply Chain Product Suite E-Business-Suite (Support Note 1273607.1)<br />PSU und CPU January 2011 AvailabilityDocument für HealthSciencesApplications (Support Note 126833.1)<br />PSU und CPU January 2011 AvailabilityDocument für Sun Products Suite (Support Note 1273260.1)<br />PSU und CPU January 2011 AvailabilityDocument für Oracle DB, Fusion Middleware, Enterprise Manager (Support Note 1263374.1)<br />Durch den Doku-Dschungel zum Patch<br />Übersicht CPU und Security Alerts http://www.oracle.com/technetwork/topics/security/alerts-086861.html<br />CPU AdvisoryJanuary 2011<br />(Affected Products and Versions, Riskmatrix)<br />Design:<br /><ul><li>Das Farbschema ist im Design als „OC 2009“ hinterlegt.
  11. 11. Ebenso sind die Schriftarten als „OC 2009“ hinterlegt.
  12. 12. Die Standardfarben sind:</li></ul>Oracle 11.1.0.7, Windows 32-bit, Bundle Patch<br />Patchnummer 10350787<br />Oracle 11.1.0.7, Unix (32-, 64-bit, Linux, IBM, Solaris), PSU<br />Patchnummer 10248531 <br />Oracle 11.1.0.7, Unix (32-, 64-bit, Linux, IBM, Solaris), CPU<br />Patchnummer 10249534 <br />
  13. 13. Zusammenfassung – Überblick<br />CPU – PSU – Bundlepatch<br />Riskmatrix oder CPU-Info helfen bei Einschätzung der Gefährdung<br />Es gibt viel zu lesen …<br />
  14. 14. 2<br />Installation<br />
  15. 15. Vorbereitung der Installation<br />Downloads:CPU-Patch + Readme ins PatchverzeichnisAktuelles Opatch-Utility nach $ORACLE_HOME/OPatch<br />Readme(s) lesen <br />PATH-Umgebungsvariable anpassen:PATH=$PATH:$ORACLE_HOME/OPatch<br />
  16. 16. Ein Blick in das OPatch-Directory<br />
  17. 17. Überblick über das OPatch-Utilityopatch -help<br />
  18. 18. opatch lsinventory -all<br />
  19. 19. Installationsüberblick<br />Herunterfahren von DB und Listener<br />Patchen der Oracle Binaries mit CPU Januar 2010<br />Starten und Patchen der Datenbank: <br />Update der DB-Sourcen (Packages, Views, Grants, …)<br />(Rekompilieren von Views)<br />(zusätzliche SQL-Skripte)<br />Wiederholen von Schritt 2 und 3 für CPU Januar 2011 zu Dokumentationszwecken<br />Start Listener<br />
  20. 20. Patchen der Oracle Binaries (CPUJan2010):opatchnapply -skip_subset -skip_duplicate<br />
  21. 21. Patchen der Oracle Binaries - Ende<br />
  22. 22. Prüfung, ob Binarieswirklich gepatcht:opatchlsinventory -all<br />
  23. 23. Patchen der DB: SQL> @catbundle.sqlcpuapply<br />
  24. 24. Patchen der DB - Ende<br />
  25. 25. Prüfung, ob DB wirklich gepatcht:select * fromsys.registry$history;<br />
  26. 26. Installieren eines aktuelleren Patches:Binaries – Output zu Beginn<br />
  27. 27. Erneutes Patchen der Binaries (CPUJan2011):opatchnapply -skip_subset -skip_duplicate<br />
  28. 28. Erneutes Patchen der DB: Output von select * fromregistry$history;<br />
  29. 29. Rollback<br />Zurückrollen aller Patches:aus Patchdirectory: opatchnrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_all.lst <br />Zurückrollen nur des letzten Patches (hier CPUJan2011): aus Patchdirectory: opatchnrollback -idFile$ORACLE_HOME/cpu/CPUJan2011/rollback_new.lst<br />Update (=Rollback) der Packages in der DB:@$ORACLE_HOME/rdbms/admin/catbundle_CPU_ORCL_ROLLBACK.sql <br />
  30. 30. SYS.REGISTRY$HISTORY nach Rollback<br />
  31. 31. Was tun bei Konflikten?<br />N-apply CPU = Gruppen (Moleküle) von unabhängigen Patches, die nicht miteinander kollidieren<br />Trotzdem: Konflikte können immer mal sein (z. B. wenn einzelne funktionale Patches stören)<br />Deshalb: Immer testen!!!<br />Konfliktauflösung:<br />Mergepatch beantragen/installieren, dann CPU<br />Oder: CPU für alle Moleküle, die keine Konflikte haben, installieren, dann Mergepatch beantragen/installieren<br />
  32. 32. Zusammenfassung – Installation<br />Immer Binaries UND Datenbank patchen <br />opatch lsinventory –all und sys.registry$history<br />opatch napply -skip_subset -skip_duplicate SQL> @catbundle.sqlcpuapply<br />opatch nrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_new.lst SQL> @catbundle_CPU_<database SID>_ROLLBACK.sql <br />
  33. 33. 3<br />;-) Hätten Sie es gewusst?<br />
  34. 34. ;-) Welche Patches sind installiert? <br />;-) Welche Patches sind installiert? Puzzleteil 1: sys.registry$history<br />
  35. 35. ;-) Welche Patches sind installiert? Puzzleteil 2: opatchlsinventory -all<br />
  36. 36.
  37. 37. ;-) Welche Patches sind installiert? The wholepicture?<br />Oracle Binaries: opatchlsinventory-all<br />Update der modifizierten SQL-Files in die DB:select action_time, action, version, comments, bundle_series from sys.registry$history;<br />$ORACLE_HOME/cfgtoollogs/opatch/:Logfilessowie opatch_history.txt<br />$ORACLE_HOME/.patch_storage<br />Aussagefürneuerstellte DBs schwierig, dasys.registry$historynichtautomatischgefülltwird-> catbundle.sql zuDokumentationszwecken<br />
  38. 38. ;-) Denken Sie immer daran, dass …<br />… Oracle Binaries UND Datenbank gepatcht werden müssen?<br />… manchmal auch Oracleclients gepatcht werden müssen?<br />… beim RAC die Binaries auf ALLEN Instanzen gepatcht werden müssen (rollingpatch)?<br />… die Standby-Datenbank mit gepatcht wird?<br />… bei Upgrade auf nächsthöhere DB-Version der aktuelle CPU mit installiert wurde?<br />… Oracle Sample-DBs bzw. ihre Clone und Skripte per se ungepatcht sind?<br />
  39. 39. ;-) Warnings im OPatch-Output: Fast immer<br />
  40. 40. ;-) Error Code 73<br />
  41. 41. ;-) Error Code 73: Die Lösung<br />
  42. 42. Zusammenfassung – Hätten Sie es gewusst?<br />Aussage, welches CPU installiert ist, ist nicht trivial-> opatchlsinventory –all-> sys.registry$history<br />Stolperfallen: Sample-DBs, RAC, Standby-DB, Clients patchen<br />Empfehlung: <br />Nach Aufbau neuer DBs immer catbundle.sql cpuapplyausführen<br />Immer genau die README lesen<br />
  43. 43. Zusammenfassung<br />4<br />
  44. 44. Zusammenfassung<br />Riskmatrix oder CPU-Info helfen bei Einschätzung der Gefährdung<br />Installation:opatchnapply für Binariescatbundle.sql für Update der DB-Sources<br />Immer VOLLSTÄNDIG die README lesen -> HowTo und Umgehung von Stolperfallen<br />
  45. 45. Kontakt<br />Katja Werner<br />Consultant<br />OPITZ CONSULTING München GmbHWeltenburgerStraße 4 | 81677 MünchenTel. +49 (89) 68 00 98-0katja.werner@opitz-consulting.com<br />

×