Redhat Enterprise Linux 8 ist da

17.5.2019 - Red Hat hat die Verfügbarkeit von Red Hat Enterprise Linux 8 bekanntgegeben.

Was bringt RHEL 8 für Neuheiten:

  • Schnelles On-Ramping für neue Linux-Nutzer ohne Angst vor der Kommandozeile.
  • Schnellere und einheitlichere Bereitstellung in beliebigen Umgebungen, und zwar mit umfassender nativer Automatisierung.
  • Eine hochsichere Plattform für Cloud-Infrastrukturen und aufkommende Workloads wie maschinelles Lernen.
  • Ein nahtloser, unterbrechungsfreier Migrationsprozess für aktuelle RHEL Umgebungen.
  • In kürzester Zeit zum „Go Live“ mit optimiertem Zugang zu hochwertigen Open Source Tools für die Entwicklung.
  • Ein vertrauenswürdiger Partner für Oracle, SAP HANA, Microsoft SQL Server, Postgres sowie Workloads des maschinellen Lernens.
  • Vereinfachte Migration und Unterstützung der Übernahme containerisierter Workloads.

Weitere Details direkt bei Red Hat.

Oracle Critical Patch Update für April 2019 verfügbar

18.4.2019 -  Oracle hat das Quartals Critical Patch Update für April 2019 herausgebracht.

Pünklich in der Nacht vom 16. auf den 17. April ist der April 2019 CPU heraus gekommen. In der Datenbank sind dieses Mal 6 Security Leaks gefunden und behoben worden.

  • CVE-2019-2517 betrifft DBFS_ROLE, weist einen Base Score von 9.1 (via Netzwerk) auf und betrifft 12.2.0.1 und 18c
    Welche Benutzer diese Rolle zugewiesen haben, finden Sie mit folgender Query heraus. Solange der Account Status LOCKED ist, besteht keine Gefahr - allerdings ist die Rolle auch dem Benutzer SYS zugewiesen...
    select username, account_status from dba_users where username in 
    (select grantee from dba_role_privs where granted_role='DBFS_ROLE');
  • CVE-2019-2516 und CVE-2019-2619 betreffen die Clusterware und können nur ausgenutzt werden, wenn man lokal am Server der Grid Infrastruktur Benutzer ist. Beide haben einen Score von 8.2 und betreffen 11.2.0.4 bis 18c.
  • CVE-2019-2518 betrifft wieder einmal die Java VM (sofern diese in der Datenbank installiert ist) und kann über das Netzwerk ausgenutzt werden. Das Leak betrifft alle Datenbank Versionen (11.2.0.4 bis 19c) mit einem Score von 7.5.
  • CVE-2019-2571 beschreibt ein Leak im DataPump, dass über das Netwerk ausgenutzt werden kann, sofern der EXPDP/IMPDP mit einer DBA Session gemacht wird. Dabei kann die DataPump übernommen (manipuliert) werden. Mit einem Score von 6.6 sind ebenfalls alle Datenbank Versionen von 11.2.0.4 bis 18c betroffen.
  • CVE-2019-2582: Dieses mal betrifft es den Core der Datenbank. Man kann über das Netzwerk auf Teile der Daten im Memory zugreifen - aber nur lesend. Betroffen sind 12.2.0.1 sowie 18c mit einem Score von 5.3.

Wir empfehlen, so bald wie möglich mit dem Einspielen der Patches zu beginnen.

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Hilfreich ist auch folgender Ausgangspunkt:

Grundsätzlich gibt es die Security Patches für folgende Releases:

  • Oracle Datenbank 11.2.0.4 - nur mehr mit extended Support
  • Oracle Datenbank 12.1.0.2
  • Oracle Datenbank 12.2.0.1
  • Oracle Datenbank 18c

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 29141056: DATABASE PATCH SET UPDATE 11.2.0.4.190416" zur Verfügung.

Niklaus Wirth – ein Pionier der Informatik wird 85

15.2.2019 - Einer der bedeutendsten Informatiker, der Erfinder von Programmiersprachen wie PL360, Pascal, Modula 2 und Oberon wird 85.

Lesen Sie bei heise.de eine Würdigung von Michael Stal.

Oracle Critical Patch Update für Jänner 2019 verfügbar

15.2.2019 -  Oracle hat das Quartals Critical Patch Update für Jänner 2019 herausgebracht.

Pünklich am 16. Jänner 2019 hat Oracle das CPU für Jan 2019 freigegeben. Auch dieses Mal sind viele für die Datenbank relevante Patches dabei. Im Besonderen wollen wir auf folgende Security Leaks hinweisen:

  • CVE-2019-2444 ... Score 8.2, benötigt aber ein Login am Datenbank Server. Solange am Datenbank Server nur Administratoren Zugriff haben, scätzen  wir das als nicht so kritisch ein. Laufen Applikationen direkt am Datenbank Server oder haben Endbenutzer Logins am Datenbank Server, gehört der Patch umgehend eingespielt.
  • CVE-2019-2406 ... Score 7.2, ist über das Netzwerk ausnutzbar, setzt aber das Privileg „EXECUTE CATALOG ROLE“ voraus, das eigentlich nur DBA Benutzer haben sollten (SYS, SYSTEM,...). Sofern Applikationsbenutzern dieses Recht nicht eingeräumt bekommen haben, ist die Angriffsfläche nicht sehr groß. Trotzdem empfehlen wir, das Einspielen des Patches zu planen.

Wir empfehlen, so bald wie möglich mit dem Einspielen der Patches zu beginnen.

Der Ausgangspunkt für die Bewertung der Lücken ist wie immer bei Oracle zu finden:

Den Überblick über die Security-Alerts finden Sie bei Oracle hier:

Grundsätzlich gibt es die Security Patches für folgende Releases:

  • Oracle Datenbank 11.2.0.4 - nur mehr mit extended Support - Ausnahme für OpenVMS
  • Oracle Datenbank 12.1.0.2
  • Oracle Datenbank 12.2.0.1
  • Oracle Datenbank 18c

 

OpenVMS

Nachdem for OpenVMS nur die Release 11.2.0.4 verfügbar ist, ist der CPU wie bisher ohne Extended Support verfügbar. Im Dokument "Oracle Software Techical Support Policies", Stand 4. Jänner 2019 findet sich im Kapitel Lifetime Support die Anmerkung, dass der Extended Support für 11.2.0.4 auf OpenVMS bis Dezember 2020 weiterhin kostenlos zur Verfügung steht.

Für Oracle 11.2.0.4 auf OpenVMS steht das aktuelle Patch Update unter "Patch 28729262 - Database Patch Set Update 11.2.0.4.190115" zur Verfügung.

 

IBM übernimmt Red-Hat

29.10.2018 - Der Computerkonzern IBM übernimmt den Open-Source-Anbieter Red Hat für umgerechnet 30 Milliarden Euro.

Der US-Computerriese IBM übernimmt den Softwarehersteller Red Hat für rund 34 Milliarden US-Dollar (knapp 30 Milliarden Euro). IBM wolle sämtliche Aktien von Red Hat für einen Stückpreis von 190 US-Dollar kaufen, teilten die Unternehmen am Sonntag mit. Red Hat soll demnach Teil von IBMs Hybrid-Cloud-Sparte werden, aber seine Eigenständigkeit behalten. Red-Hat-CEO Jim Whitehurst bleibt an Bord und berichtet als Mitglied des IBM-Topmanagements direkt an Ginny Rometty.

Quelle: heise.de

 

Der neue Releasezyklus von Java

30.9.2018 - Alle sechs Monate erscheint mittlerweile eine neue Java-Version. Was bedeutet das für den Entwicklungsalltag? Wie können Projekte mit dem schnellen Releasezyklus umgehen?

Wenn man den bekannten Spielentwickler John Carmack fragte, wann das nächste Doom erscheint, antwortete er üblicherweise "When it's done". Früher lief es in Java ähnlich. Java 7 zum Beispiel erschien im Juli 2011 nach viereinhalb Jahren Entwicklung.

Im Jahr 2012, die JDK-Entwickler arbeiteten gerade fieberhaft am Release von Java 8, kamen Zweifel daran auf, ob ein Feature-getriebener Release-Zyklus sinnvoll sei. Mark Reinhold, Chief Architect der Java Platform Group bei Oracle, sprach sich damals für einen rein zeitbasierten Releasezyklus aus. Alle zwei Jahre sollte eine neue Java-Version herauskommen. Mit allen Features, die dann fertig sein werden – die, die es nicht rechtzeitig geschafft hätten, müssten auf die nächste Version warten. Das hat, vorsichtig ausgedrückt, auch nicht gut funktioniert.

Lesen Sie die umfangreiche Abhandlung über den neuen Java Release Zyklus bei heise.de.