Das Dokument bietet einen Überblick über die Installation kritischer Patch-Updates (CPU) und Patch-Set-Updates (PSU) für Oracle-Datenbankserver, einschließlich Begriffsklärungen und Installationsschritte. Es wird betont, dass sowohl die Oracle-Binaries als auch die Datenbank gepatcht werden müssen und dass die Nutzung von Tools wie riskmatrix und opatch zur Unterstützung empfohlen wird. Zudem werden wichtige Hinweise zu möglichen Konflikten und der Notwendigkeit gegeben, Dokumentationen gründlich zu lesen.

1. SIG Security am 3.3.2011

2. Katja Werner, ConsultantOPITZ CONSULTING München GmbHCritical Patch Update und Patch Set UpdateÜberblick und Installation am Beispiel des Oracle DatenbankserversOracle SIG Security, München, 3.3.2011

3. AgendaÜberblickInstallationHätten Sie es gewusst?Zusammenfassung

4. 1Überblick

5. BegriffsklärungSecurity AlertsCritical Patch Updates (CPU)SecuritypatchesUmstieg auf PSU möglichPatch Set Updates (PSU)Security- und funktionale Patcheseinmal PSU immer PSU Bundlepatches für Windows

6. Muss ich den CPU einspielen?Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

7. ScreenshotRiskmatrix

8. Muss ich den CPU einspielen?Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.htmlInternetrechercheOder:CPU-Info von OPITZ CONSULTING und Red Database Security:http://www.opitz-consulting.com/veroeffentlichungen/cpu_info.php

9. Gefixte Schwachstellen für Datenbanken in den CPUs seit 2005

10. Oracle 11.1.0.7, Windows 64-bit, Bundle PatchPatchnummer 10350788PSU und CPU January 2011 AvailabilityDocumentfür E-Business-Suite (Support Note 1271167.1)PSU und CPU January 2011 AvailabilityDocument für Oracle PeopleSoft Enterprise and Oracle Supply Chain Product Suite E-Business-Suite (Support Note 1273607.1)PSU und CPU January 2011 AvailabilityDocument für HealthSciencesApplications (Support Note 126833.1)PSU und CPU January 2011 AvailabilityDocument für Sun Products Suite (Support Note 1273260.1)PSU und CPU January 2011 AvailabilityDocument für Oracle DB, Fusion Middleware, Enterprise Manager (Support Note 1263374.1)Durch den Doku-Dschungel zum PatchÜbersicht CPU und Security Alerts http://www.oracle.com/technetwork/topics/security/alerts-086861.htmlCPU AdvisoryJanuary 2011(Affected Products and Versions, Riskmatrix)Design:Das Farbschema ist im Design als „OC 2009“ hinterlegt.

11. Ebenso sind die Schriftarten als „OC 2009“ hinterlegt.

12. Die Standardfarben sind:Oracle 11.1.0.7, Windows 32-bit, Bundle PatchPatchnummer 10350787Oracle 11.1.0.7, Unix (32-, 64-bit, Linux, IBM, Solaris), PSUPatchnummer 10248531 Oracle 11.1.0.7, Unix (32-, 64-bit, Linux, IBM, Solaris), CPUPatchnummer 10249534

13. Zusammenfassung – ÜberblickCPU – PSU – BundlepatchRiskmatrix oder CPU-Info helfen bei Einschätzung der GefährdungEs gibt viel zu lesen …

14. 2Installation

15. Vorbereitung der InstallationDownloads:CPU-Patch + Readme ins PatchverzeichnisAktuelles Opatch-Utility nach $ORACLE_HOME/OPatchReadme(s) lesen PATH-Umgebungsvariable anpassen:PATH=$PATH:$ORACLE_HOME/OPatch

16. Ein Blick in das OPatch-Directory

17. Überblick über das OPatch-Utilityopatch -help

18. opatch lsinventory -all

19. InstallationsüberblickHerunterfahren von DB und ListenerPatchen der Oracle Binaries mit CPU Januar 2010Starten und Patchen der Datenbank: Update der DB-Sourcen (Packages, Views, Grants, …)(Rekompilieren von Views)(zusätzliche SQL-Skripte)Wiederholen von Schritt 2 und 3 für CPU Januar 2011 zu DokumentationszweckenStart Listener

20. Patchen der Oracle Binaries (CPUJan2010):opatchnapply -skip_subset -skip_duplicate

21. Patchen der Oracle Binaries - Ende

22. Prüfung, ob Binarieswirklich gepatcht:opatchlsinventory -all

23. Patchen der DB: SQL> @catbundle.sqlcpuapply

24. Patchen der DB - Ende

25. Prüfung, ob DB wirklich gepatcht:select * fromsys.registry$history;

26. Installieren eines aktuelleren Patches:Binaries – Output zu Beginn

27. Erneutes Patchen der Binaries (CPUJan2011):opatchnapply -skip_subset -skip_duplicate

28. Erneutes Patchen der DB: Output von select * fromregistry$history;

29. RollbackZurückrollen aller Patches:aus Patchdirectory: opatchnrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_all.lst Zurückrollen nur des letzten Patches (hier CPUJan2011): aus Patchdirectory: opatchnrollback -idFile$ORACLE_HOME/cpu/CPUJan2011/rollback_new.lstUpdate (=Rollback) der Packages in der DB:@$ORACLE_HOME/rdbms/admin/catbundle_CPU_ORCL_ROLLBACK.sql

30. SYS.REGISTRY$HISTORY nach Rollback

31. Was tun bei Konflikten?N-apply CPU = Gruppen (Moleküle) von unabhängigen Patches, die nicht miteinander kollidierenTrotzdem: Konflikte können immer mal sein (z. B. wenn einzelne funktionale Patches stören)Deshalb: Immer testen!!!Konfliktauflösung:Mergepatch beantragen/installieren, dann CPUOder: CPU für alle Moleküle, die keine Konflikte haben, installieren, dann Mergepatch beantragen/installieren

32. Zusammenfassung – InstallationImmer Binaries UND Datenbank patchen opatch lsinventory –all und sys.registry$historyopatch napply -skip_subset -skip_duplicate SQL> @catbundle.sqlcpuapplyopatch nrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_new.lst SQL> @catbundle_CPU_<database SID>_ROLLBACK.sql

33. 3;-) Hätten Sie es gewusst?