In diesem Vortrag wird zum einen ein Überblick und eine Begriffsklärung zum Thema CPU/PSU gegeben. Zum anderen wird gezeigt, wie man patcht und welche Dinge dabei beachtet werden sollten.OPITZ CONSULTING Beraterin Katja Werner hielt diesen Vortrag bei der DOAG SIG Security am 3.3.2011.

1. SIG Security am 3.3.2011

2. Katja Werner, Consultant OPITZ CONSULTING München GmbH Critical Patch Update und Patch Set Update Überblick und Installation am Beispiel des Oracle Datenbankservers Oracle SIG Security, München, 3.3.2011

3. Agenda Überblick Installation Hätten Sie es gewusst? Zusammenfassung

4. 1 Überblick

5. Begriffsklärung Security Alerts Critical Patch Updates (CPU) Securitypatches Umstieg auf PSU möglich Patch Set Updates (PSU) Security- und funktionale Patches einmal PSU immer PSU Bundlepatches für Windows

6. Muss ich den CPU einspielen? Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

7. ScreenshotRiskmatrix

8. Muss ich den CPU einspielen? Ein Blick auf die Riskmatrix:http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html Internetrecherche Oder: CPU-Info von OPITZ CONSULTING und Red Database Security:http://www.opitz-consulting.com/veroeffentlichungen/cpu_info.php

9. Gefixte Schwachstellen für Datenbanken in den CPUs seit 2005

11. Ebenso sind die Schriftarten als „OC 2009“ hinterlegt.

12. Die Standardfarben sind:Oracle 11.1.0.7, Windows 32-bit, Bundle Patch Patchnummer 10350787 Oracle 11.1.0.7, Unix (32-, 64-bit, Linux, IBM, Solaris), PSU Patchnummer 10248531 Oracle 11.1.0.7, Unix (32-, 64-bit, Linux, IBM, Solaris), CPU Patchnummer 10249534

13. Zusammenfassung – Überblick CPU – PSU – Bundlepatch Riskmatrix oder CPU-Info helfen bei Einschätzung der Gefährdung Es gibt viel zu lesen …

14. 2 Installation

15. Vorbereitung der Installation Downloads:CPU-Patch + Readme ins PatchverzeichnisAktuelles Opatch-Utility nach $ORACLE_HOME/OPatch Readme(s) lesen  PATH-Umgebungsvariable anpassen:PATH=$PATH:$ORACLE_HOME/OPatch

16. Ein Blick in das OPatch-Directory

17. Überblick über das OPatch-Utilityopatch -help

18. opatch lsinventory -all

19. Installationsüberblick Herunterfahren von DB und Listener Patchen der Oracle Binaries mit CPU Januar 2010 Starten und Patchen der Datenbank: Update der DB-Sourcen (Packages, Views, Grants, …) (Rekompilieren von Views) (zusätzliche SQL-Skripte) Wiederholen von Schritt 2 und 3 für CPU Januar 2011 zu Dokumentationszwecken Start Listener

20. Patchen der Oracle Binaries (CPUJan2010):opatchnapply -skip_subset -skip_duplicate

21. Patchen der Oracle Binaries - Ende

22. Prüfung, ob Binarieswirklich gepatcht:opatchlsinventory -all

23. Patchen der DB: SQL> @catbundle.sqlcpuapply

24. Patchen der DB - Ende

25. Prüfung, ob DB wirklich gepatcht:select * fromsys.registry$history;

26. Installieren eines aktuelleren Patches:Binaries – Output zu Beginn

27. Erneutes Patchen der Binaries (CPUJan2011):opatchnapply -skip_subset -skip_duplicate

28. Erneutes Patchen der DB: Output von select * fromregistry$history;

29. Rollback Zurückrollen aller Patches:aus Patchdirectory: opatchnrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_all.lst Zurückrollen nur des letzten Patches (hier CPUJan2011): aus Patchdirectory: opatchnrollback -idFile$ORACLE_HOME/cpu/CPUJan2011/rollback_new.lst Update (=Rollback) der Packages in der DB:@$ORACLE_HOME/rdbms/admin/catbundle_CPU_ORCL_ROLLBACK.sql

30. SYS.REGISTRY$HISTORY nach Rollback

31. Was tun bei Konflikten? N-apply CPU = Gruppen (Moleküle) von unabhängigen Patches, die nicht miteinander kollidieren Trotzdem: Konflikte können immer mal sein (z. B. wenn einzelne funktionale Patches stören) Deshalb: Immer testen!!! Konfliktauflösung: Mergepatch beantragen/installieren, dann CPU Oder: CPU für alle Moleküle, die keine Konflikte haben, installieren, dann Mergepatch beantragen/installieren

32. Zusammenfassung – Installation Immer Binaries UND Datenbank patchen opatch lsinventory –all und sys.registry$history opatch napply -skip_subset -skip_duplicate SQL> @catbundle.sqlcpuapply opatch nrollback -idFile $ORACLE_HOME/cpu/CPUJan2011/rollback_new.lst SQL> @catbundle_CPU_<database SID>_ROLLBACK.sql

33. 3 ;-) Hätten Sie es gewusst?

34. ;-) Welche Patches sind installiert? ;-) Welche Patches sind installiert? Puzzleteil 1: sys.registry$history

35. ;-) Welche Patches sind installiert? Puzzleteil 2: opatchlsinventory -all

37. ;-) Welche Patches sind installiert? The wholepicture? Oracle Binaries: opatchlsinventory-all Update der modifizierten SQL-Files in die DB:select action_time, action, version, comments, bundle_series from sys.registry$history; $ORACLE_HOME/cfgtoollogs/opatch/:Logfilessowie opatch_history.txt $ORACLE_HOME/.patch_storage Aussagefürneuerstellte DBs schwierig, dasys.registry$historynichtautomatischgefülltwird-> catbundle.sql zuDokumentationszwecken

38. ;-) Denken Sie immer daran, dass … … Oracle Binaries UND Datenbank gepatcht werden müssen? … manchmal auch Oracleclients gepatcht werden müssen? … beim RAC die Binaries auf ALLEN Instanzen gepatcht werden müssen (rollingpatch)? … die Standby-Datenbank mit gepatcht wird? … bei Upgrade auf nächsthöhere DB-Version der aktuelle CPU mit installiert wurde? … Oracle Sample-DBs bzw. ihre Clone und Skripte per se ungepatcht sind?

39. ;-) Warnings im OPatch-Output: Fast immer

40. ;-) Error Code 73

41. ;-) Error Code 73: Die Lösung

42. Zusammenfassung – Hätten Sie es gewusst? Aussage, welches CPU installiert ist, ist nicht trivial-> opatchlsinventory –all-> sys.registry$history Stolperfallen: Sample-DBs, RAC, Standby-DB, Clients patchen Empfehlung: Nach Aufbau neuer DBs immer catbundle.sql cpuapplyausführen Immer genau die README lesen

43. Zusammenfassung 4

44. Zusammenfassung Riskmatrix oder CPU-Info helfen bei Einschätzung der Gefährdung Installation:opatchnapply für Binariescatbundle.sql für Update der DB-Sources Immer VOLLSTÄNDIG die README lesen -> HowTo und Umgehung von Stolperfallen

45. Kontakt Katja Werner Consultant OPITZ CONSULTING München GmbHWeltenburgerStraße 4 | 81677 MünchenTel. +49 (89) 68 00 98-0katja.werner@opitz-consulting.com