In diesem Vortrag wird zum einen ein Überblick und eine Begriffsklärung zum Thema CPU/PSU gegeben. Zum anderen wird gezeigt, wie man patcht und welche Dinge dabei beachtet werden sollten.OPITZ CONSULTING Beraterin Katja Werner hielt diesen Vortrag bei der DOAG SIG Security am 3.3.2011.
2. Katja Werner, Consultant OPITZ CONSULTING München GmbH Critical Patch Update und Patch Set Update Überblick und Installation am Beispiel des Oracle Datenbankservers Oracle SIG Security, München, 3.3.2011
5. Begriffsklärung Security Alerts Critical Patch Updates (CPU) Securitypatches Umstieg auf PSU möglich Patch Set Updates (PSU) Security- und funktionale Patches einmal PSU immer PSU Bundlepatches für Windows
6. Muss ich den CPU einspielen? Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
8. Muss ich den CPU einspielen? Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html Internetrecherche Oder: CPU-Info von OPITZ CONSULTING und Red Database Security:http://www.opitz-consulting.com/veroeffentlichungen/cpu_info.php
19. Installationsüberblick Herunterfahren von DB und Listener Patchen der Oracle Binaries mit CPU Januar 2010 Starten und Patchen der Datenbank: Update der DB-Sourcen (Packages, Views, Grants, …) (Rekompilieren von Views) (zusätzliche SQL-Skripte) Wiederholen von Schritt 2 und 3 für CPU Januar 2011 zu Dokumentationszwecken Start Listener
20. Patchen der Oracle Binaries (CPUJan2010):opatchnapply -skip_subset -skip_duplicate
29. Rollback Zurückrollen aller Patches:aus Patchdirectory: opatchnrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_all.lst Zurückrollen nur des letzten Patches (hier CPUJan2011): aus Patchdirectory: opatchnrollback -idFile$ORACLE_HOME/cpu/CPUJan2011/rollback_new.lst Update (=Rollback) der Packages in der DB:@$ORACLE_HOME/rdbms/admin/catbundle_CPU_ORCL_ROLLBACK.sql
31. Was tun bei Konflikten? N-apply CPU = Gruppen (Moleküle) von unabhängigen Patches, die nicht miteinander kollidieren Trotzdem: Konflikte können immer mal sein (z. B. wenn einzelne funktionale Patches stören) Deshalb: Immer testen!!! Konfliktauflösung: Mergepatch beantragen/installieren, dann CPU Oder: CPU für alle Moleküle, die keine Konflikte haben, installieren, dann Mergepatch beantragen/installieren
32. Zusammenfassung – Installation Immer Binaries UND Datenbank patchen opatch lsinventory –all und sys.registry$history opatch napply -skip_subset -skip_duplicate SQL> @catbundle.sqlcpuapply opatch nrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_new.lst SQL> @catbundle_CPU_<database SID>_ROLLBACK.sql
34. ;-) Welche Patches sind installiert? ;-) Welche Patches sind installiert? Puzzleteil 1: sys.registry$history
35. ;-) Welche Patches sind installiert? Puzzleteil 2: opatchlsinventory -all
36.
37. ;-) Welche Patches sind installiert? The wholepicture? Oracle Binaries: opatchlsinventory-all Update der modifizierten SQL-Files in die DB:select action_time, action, version, comments, bundle_series from sys.registry$history; $ORACLE_HOME/cfgtoollogs/opatch/:Logfilessowie opatch_history.txt $ORACLE_HOME/.patch_storage Aussagefürneuerstellte DBs schwierig, dasys.registry$historynichtautomatischgefülltwird-> catbundle.sql zuDokumentationszwecken
38. ;-) Denken Sie immer daran, dass … … Oracle Binaries UND Datenbank gepatcht werden müssen? … manchmal auch Oracleclients gepatcht werden müssen? … beim RAC die Binaries auf ALLEN Instanzen gepatcht werden müssen (rollingpatch)? … die Standby-Datenbank mit gepatcht wird? … bei Upgrade auf nächsthöhere DB-Version der aktuelle CPU mit installiert wurde? … Oracle Sample-DBs bzw. ihre Clone und Skripte per se ungepatcht sind?
42. Zusammenfassung – Hätten Sie es gewusst? Aussage, welches CPU installiert ist, ist nicht trivial-> opatchlsinventory –all-> sys.registry$history Stolperfallen: Sample-DBs, RAC, Standby-DB, Clients patchen Empfehlung: Nach Aufbau neuer DBs immer catbundle.sql cpuapplyausführen Immer genau die README lesen
44. Zusammenfassung Riskmatrix oder CPU-Info helfen bei Einschätzung der Gefährdung Installation:opatchnapply für Binariescatbundle.sql für Update der DB-Sources Immer VOLLSTÄNDIG die README lesen -> HowTo und Umgehung von Stolperfallen
45. Kontakt Katja Werner Consultant OPITZ CONSULTING München GmbHWeltenburgerStraße 4 | 81677 MünchenTel. +49 (89) 68 00 98-0katja.werner@opitz-consulting.com