Oracle Critical Patch Update für Jänner 2019 verfügbar

15.2.2019 -  Oracle hat das Quartals Critical Patch Update für Jänner 2019 herausgebracht.

Pünklich am 16. Jänner 2019 hat Oracle das CPU für Jan 2019 freigegeben. Auch dieses Mal sind viele für die Datenbank relevante Patches dabei. Im Besonderen wollen wir auf folgende Security Leaks hinweisen:

  • CVE-2019-2444 ... Score 8.2, benötigt aber ein Login am Datenbank Server. Solange am Datenbank Server nur Administratoren Zugriff haben, scätzen  wir das als nicht so kritisch ein. Laufen Applikationen direkt am Datenbank Server oder haben Endbenutzer Logins am Datenbank Server, gehört der Patch umgehend eingespielt.
  • CVE-2019-2406 ... Score 7.2, ist über das Netzwerk ausnutzbar, setzt aber das Privileg „EXECUTE CATALOG ROLE“ voraus, das eigentlich nur DBA Benutzer haben sollten (SYS, SYSTEM,...). Sofern Applikationsbenutzern dieses Recht nicht eingeräumt bekommen haben, ist die Angriffsfläche nicht sehr groß. Trotzdem empfehlen wir, das Einspielen des Patches zu planen.

Wir empfehlen, so bald wie möglich mit dem Einspielen der Patches zu beginnen.

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Grundsätzlich gibt es die Security Patches für folgende Releases:

  • Oracle Datenbank 11.2.0.4 - nur mehr mit extended Support - Ausnahme für OpenVMS
  • Oracle Datenbank 12.1.0.2
  • Oracle Datenbank 12.2.0.1
  • Oracle Datenbank 18c

 

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 28729262 - Database Patch Set Update 11.2.0.4.190115" zur Verfügung.

 

IBM übernimmt Red-Hat

29.10.2018 - Der Computerkonzern IBM übernimmt den Open-Source-Anbieter Red Hat für umgerechnet 30 Milliarden Euro.

Der US-Computerriese IBM übernimmt den Softwarehersteller Red Hat für rund 34 Milliarden US-Dollar (knapp 30 Milliarden Euro). IBM wolle sämtliche Aktien von Red Hat für einen Stückpreis von 190 US-Dollar kaufen, teilten die Unternehmen am Sonntag mit. Red Hat soll demnach Teil von IBMs Hybrid-Cloud-Sparte werden, aber seine Eigenständigkeit behalten. Red-Hat-CEO Jim Whitehurst bleibt an Bord und berichtet als Mitglied des IBM-Topmanagements direkt an Ginny Rometty.

Quelle: heise.de

 

WordPress DSGVO konform einsetzen

31.8.2018 - Am 25. Mai 2018 trat die europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Sie legt EU-weit einheitliche Regeln im Umgang mit personenbezogenen Daten fest, löst nationale Gesetzgebungen ab und soll innerhalb Europas sowohl den Datenschutz sicherstellen als auch den freien Datenverkehr erleichtern – zumindest in der Theorie.

Für welche Webseiten gilt die DSGVO überhaupt?

Grundsätzlich gilt die DSGVO für alle nicht privaten Webseiten, also für Vereine und NGOs, Blogger und Selbstständige ebenso wie für kleine und mittlere Unternehmen und Großbetriebe, die sich an ein europäisches Publikum richten. Der geografische Standort von Server und Unternehmen spielt keine Rolle.

Ausgenommen sind lediglich private Webseiten. Diese können zwar öffentlich zugänglich sein, dürfen aber keinerlei Werbung enthalten und keine kommerzielle Absicht des Betreibers erkennen lassen. Letzteres jedoch ist ein Kriterium, das nur ein verschwindend kleiner Teil der deutschsprachigen Bloglandschaft erfüllt, zumal ein einziges Banner oder ein Testbericht bereits für die Klassifizierung als kommerzielles Onlineangebot ausreicht.

Während die Betreiber selbst gehosteter WordPress-Websites zumindest die technischen Möglichkeiten haben, die Vorgaben der DSGVO entsprechend zu implementieren, stellt sich die Situation bei Hosting-Plattformen wie Blogger.com oder WordPress.com um einiges komplizierter dar: Die Nutzer dieser Gratisangebote sind auf die Umsetzung durch den jeweiligen Plattformbetreiber angewiesen.

Informieren Sie sich bei heise.de

Der neue Releasezyklus von Java

30.9.2018 - Alle sechs Monate erscheint mittlerweile eine neue Java-Version. Was bedeutet das für den Entwicklungsalltag? Wie können Projekte mit dem schnellen Releasezyklus umgehen?

Wenn man den bekannten Spielentwickler John Carmack fragte, wann das nächste Doom erscheint, antwortete er üblicherweise "When it's done". Früher lief es in Java ähnlich. Java 7 zum Beispiel erschien im Juli 2011 nach viereinhalb Jahren Entwicklung.

Im Jahr 2012, die JDK-Entwickler arbeiteten gerade fieberhaft am Release von Java 8, kamen Zweifel daran auf, ob ein Feature-getriebener Release-Zyklus sinnvoll sei. Mark Reinhold, Chief Architect der Java Platform Group bei Oracle, sprach sich damals für einen rein zeitbasierten Releasezyklus aus. Alle zwei Jahre sollte eine neue Java-Version herauskommen. Mit allen Features, die dann fertig sein werden – die, die es nicht rechtzeitig geschafft hätten, müssten auf die nächste Version warten. Das hat, vorsichtig ausgedrückt, auch nicht gut funktioniert.

Lesen Sie die umfangreiche Abhandlung über den neuen Java Release Zyklus bei heise.de.

EU-Datenschützer: Domainregistrierung und DSGVO immer noch nicht vereinbar

11.7.2018 - Der Europäische Datenschutzausschuss wirft der ICANN vor, die DSGVO noch nicht ganz verstanden zu haben und fordert Nachbesserung.

Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) ist noch immer nicht zufrieden mit der Zweckbestimmung für die Sammlung von Domaininhaberdaten. Das haben die Datenschützer der Internet Corporation for Assigned Names and Numbers (ICANN) in einem neuen Brief mitgeteilt. In ihrer Satzung vermische die private Netzverwaltung den Zweck der eigenen Datenerhebung mit durchaus berechtigten Interessen Dritter, warnen die europäischen Datenschützer.

Praktisch um fünf vor zwölf – am 17. Mai 2018 – hatte die ICANN eine Interimsregelung für die Publikation privater Domaininhaberdaten veröffentlicht. Der Umfang und die Dauer der Datenspeicherung sowie die Verwendung der über Domaininhaber in den Whois-Datenbanken gesammelten Daten sind seit Jahren umstritten. Die DSGVO brachte die ICANN in Zugzwang.

Weitere Informationen zu dieser Auseinandersetzung finden Sie bei heise.de