THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Oracle Yazılımlarında Güvenlik Yamaları

CmcEagle - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2013
Nereden:
Spain
Yaş:
33
Mesajlar:
136
Konular:
111
Teşekkür (Etti):
1
Teşekkür (Aldı):
12
Ticaret:
(0) %
23-06-2013 18:04
#1
Oracle Yazılımlarında Güvenlik Yamaları
Bilgi sistemi varlıklarında son yıllarda rastlanan en ciddi güvenlik sorunlarından birisi de yazılım ya da donanım seviyesinde tespit edilen güvenlik açıklıklarının düzenli takip edilmemesidir. Özellikle üretici firmalar tarafından ilgili yamalar yayınlandıktan sonra saldırganların iletişim kurduğu form, e-posta listesi gibi ortamlarda açıklıklar ve örnek saldırı kodlarının hızla yayılması, yama güncellemesi yapılmayan bilgi sistemleri üzerindeki tehdidin artmasına sebep olmaktadır.
Veritabanı gibi kurumlara ait hassas bilgilerin yer aldığı bilgi sistemi varlıklarında yama takibine diğer sistemlere nazaran daha fazla önem gösterilmeli ve özellikle güvenlik amacıyla yayınlanan yama paketleri kısa süre içerisinde uygulanmalıdır. Son yıllarda bulunan açıklıklar sebebiyle yama yapılmayan Oracle veritabanı sistemlerinde servis dışı bırakma, yetki yükseltme, yetkisiz bağlantılarla yetki elde etme gibi ciddi açıklıkların bulunduğu gerek üretici firma [1] gerekse diğer güvenlik otoriteleri tarafından [2][3][4][5] ifade edilmektedir.
Oracle, tespit edilen güvenlik açıklıklarına yönelik Ocak, Nisan, Temmuz ve Ekim aylarında olmak üzere yılda dört kez kritik yama güncellemesi (Critical Patch Update - CPU) yayınlamaktadır. Yayınlanan yamaları düzenli olarak takip etmek için Oracle web sitesinden ([url=http://www.oracle.com]Oracle | Hardware and Software, Engineered to Work Together) Oracle Technology Network → Security → Critical Patch Updates yolu takip edilmelidir [1]. Veya aynı sitede yer alan RSS linkine ( https://tik.lat/dYLlR ) bir RSS okuyucu ile üye olunmalıdır.
Kritik yama güncellemeleri işletim sistemi ve işlemci mimarisine bağlı olarak farklılık göstermektedir. Bu sebeple öncelikle kullanılan işletim sistemi ve veritabanı sürümü için hangi CPU’nun indirilmesi gerektiği belirlenmelidir. CPU ile ilgili referansın “Patch Availability Table and Risk Matrices” bölümünde yer alan tabloda farklı sistem ve veritabanı sürümlerine uygulanacak yamalar ile ilgili ****link notuna link vardır. Örnek bir tablo aşağıda yer almaktadır.


Bu linkte yer alan notu okuyabilmek ve daha sonra ilgili CPU’yu indirebilmek için ****link üyeliğine ihtiyaç vardır. Notun “Patch Availibility” bölümünde platform ve Oracle sürümlerine göre yama numaraları listelenmektedir. Örnek bir tablo aşağıda yer almaktadır.


İlgili CPU paketinin indirilebilmesi için ****link’e (http://****link.oracle.com) giriş yaptıktan sonra:
• “Patches and Updates” sekmesi seçilir.
• “Simple Search” linki tıklanır.
• “Search By” alanında “Patch Number” seçilir.
• CPU paketinin numarası ve platform seçilerek “Go” düğmesine basılır.
• Listelenen CPU indirilir.
Örnek bir arama ekranı aşağıda yer almaktadır. İndirme linkinin yanında CPU ile ilgili bilgiler ve kurulum notlarını içeren bir web bağlantısı da yer almaktadır.


İndirme işlemi tamamlandıktan sonra arşiv dosyası açılır ve CPU numarası ile adlandırılan dizine girilir ve aşağıdaki komut çalıştırılır.
> $ORACLE_HOME/OPatch/opatch apply
CPU yama paketleri veritabanı sisteminde beklenmedik bir hata üretirse yine CPU dizinine girildikten sonra aşağıdaki komut ile yama geri alınabilir.
> $ORACLE_HOME/OPatch/opatch rollback -id [CPU_No]
Yüklenen yamaları listelemek için aşağıdaki komut çalıştırılabilir.
> $ORACLE_HOME/OPatch/opatch lsinventory
Örnek bir yama listesi şu şekildedir.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler