Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Base de données : la 11g R2 d'Oracle disponible

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 04/02/10

Oracle 11g R2 : une faille permet de prendre le contrôle total du SGBD
L'implémentation de Java dans la base de données serait en cause

La base de donnée Oracle 11g R2 possèderait une faille de sécurité importante qui permettrait à un utilisateur mal intentionné d'en prendre le contrôle complet et total ("complete control over the database").

C'est en tout cas ce qu'affirme David Litchfield, chercheur renommé pour le NGS Consulting lors du colloque sur la sécurité informatique du Black Hat.

Démonstration à l'appui, Litchfield a ainsi montré à l'assistance comment un utilisateur lambda pouvait s'approprier des droits d'administration supérieurs.
Il explique par ailleurs que la faille viendrait de la manière dont Java a été implémenté dans Oracle 11g Release 2.

Jusqu'à ce que Oracle la colmate, David Litchfield recommande donc aux administrateurs du SGBD de limiter l'accès et l'exécution publics de certaines fonctions en Java.

Pour faciliter la tache de Larry Ellisson, le pDG d'Oracle, avec qui il entretient visiblement des relations "rock n' roll" (vo "rocky relations"), le chercheur publiera prochainement un white paper de son exploit.

Néanmoins, ce vétéran de la recherche en sécurité (et un des plus reconnus) trouve que la sécurité du SGBD d'Oracle s'est nettement améliorée par rapport aux versions précédentes.

Ce qui ne l'empêche pas d'affirmer dans le même temps que le géant du logiciel se repose trop sur les outils de sécurité au lieu d'intégrer ces problématiques dès la phase de conception de ses produits.

Ce n'est visiblement pas demain la veille que les deux seniors deviendront les meilleurs amis du monde IT.

Source : Conférence lors du Black Hat

Et vous ?

Pensez-vous comme David Litchfield qu'Oracle ne prend pas assez en compte la sécurité dans la conception de ses offres ?

Comment régissez-vous à cette annonce de cet exploit "zero-day" : indifférence, préoccupation, étonnement ?

MAJ de Gordon Fowler

Mise à jour du 02/09/09

Base de données : la 11g R2 d'Oracle vient de sortir

Comme prévu, Oracle Database 11g Release 2 vient de sortir.

Cette nouvelle génération [de] bases de données s'appuie sur les innovations introduites par Oracle Database 11g pour aider les entreprises à bénéficier d'un meilleur traitement des informations à travers l'ensemble de leur organisation, avec une meilleure qualité de service et pour un coût inférieur.

Elle est annoncée par Oracle comme pouvant diviser le coût des serveurs par 5 tout en les consolidant au sein d'une architecture grid.

La 11g R2 est disponible en téléchargement gratuit sur cette page (NB : pour Linux).

Base de données : la 11g R2 d'Oracle sera présentée dès Septembre

L'update du fer de lance d'Oracle en matière SGBD était extrêmement attendue.
La nouvelle ravira dons les utilisateurs : la mise à niveau arrivera Septembre 2009.

Des améliorations sont annoncées particulièrement dans les grilles de calcul, la gestion du stockage et le partitionnement des données (alias le "clustering").

Jusqu'à présent, l'entreprise refusait de confirmer la rumeur, préférant laisser ses béta-testeurs travailler dans le plus grand secret.

Cette rumeur était née suite aux propos de Charles Philips, Président d'Oracle, lors d'une conférence de presse du 28 février dernier où il déclarait :
New release of the database 11g release 2 should happen in Q1.

Pour mémoire, le Q1 est le premier trimestre fiscal américain qui débute en Juin.

Ian Abramson, president du "Groupe des Utilisateurs Independants d'Oracle", a lui participé au test de la version béta.
Il pense que celle-ci est largement plus stable que la précédente.

Sur son blog, il déclare qu'elle devrait convaincre beaucoup d'utilisateurs de la 10g de franchir le pas, chose que la 11g, parue en Juillet 2007, n'avait que partiellement réussi à faire :
[...] how can you tell if someone is a Junior or Senior DBA ? The answer goes that when the first version of the software arrives the Junior DBA wants to install it straight to production and the Senior DBA throws out the CD and waits for Release 2 [...] So here we are with Oracle 11g Release 2, and based on what I have seen .... you should start to consider the adoption of the this release.

La présentation officielle de la 11g R2 aura lieu le 29 Septembre prochain à Bedford.

Sources :

L'annonce officielle d'Oracle
Le blog des utilisateurs indépendants d'Oracle
Le compte rendu de la conférence du Président d'Oracle

Lire aussi :

Tout Oracle sur Developpez.com: le forum, les outils, les FAQ, les tutos.

Rachat de Sun par Oracle : Le département américain de la justice vient de donner son accord
Le PDG d'Oracle touchera un salaire de 1 dollar sur 2010

Et vous ? :

Attendiez-vous avec impatience la 11g R2 ?
D'après vous, peut-elle convaincre les utilisateurs de la 10g de tenter l'upgrade ?
Que pensez-vous de la boutade de Abramson sur la différence entre les DBA expérimentés et les newbies ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de SQLpro SQLpro - Rédacteur http://www.developpez.com
le 24/02/2010 à 23:52
Citation Envoyé par orafrance  Voir le message
...
Oui, dual-pentium 4 cores + haute dispo (dataguard seulement)
Oracle : 4 licences pour le primaire plus 4 pour le secondaire = 8 licences
SQL server : 2 licences pour le primaire, aucun pour le cluster et éventuellement 2 pour le miroir (je ne sais plus si c'est payant).

je te confirme, non : ni l'OS ni SQL Server n'est à payer sur aucun serveur redondant !

Citation Envoyé par orafrance  Voir le message
MS facture au CPU et pas au core, rien que ça, ça permet des économies non négligeable. Donc même si MS faisait les licences aussi cher qu'Oracle, Oracle serait 2 fois plus cher. Mais comme en plus MS est moins cher... bah t'es pas loin de 4 fois plus cher pour Oracle. Et sur MS t'as le clustering en plus alors qu'ASM est payant sur l'Enterprise d'Oracle (mais gratuit en standard mais là tu payes Data Guard... à n'y rien comprendre )

Après on peut aussi jouer avec la virtualisation. 64 CPU dans un blade center. Une machine virtuelle avec un dual core.
MS = 2 licences
Oracle = 32 licences

Rajoute à cela que Oracle fait payer chacun des module supplémentaire :
Spatial, Full text, Backup (herman), outil d'intégration de données, de reporting, alors que tout cela est intégré dans la licence MS.

Un petit exemple, en passant sa BI de Oracle à SQL Server, l'une des plus grosse compagnie d'aviation US a économisé plus de 120 millions de dollars de licences !

A +
Avatar de orafrance orafrance - Expert éminent sénior http://www.developpez.com
le 25/02/2010 à 7:41
Citation Envoyé par SQLpro  Voir le message
alors que sous oracle pour obtenir le même effet il faut encapsuler les différentes façon d'écrire la requête dans une procédure et prévoir un branchement en fonction de la valeur de certains paramètres... ignobles !

Non non, Oracle propose un optimiseur basé sur les stats depuis un moment, plus la peine de se torturer l'esprit à savoir dans quel ordre faut mettre les relations ou les tables
Avatar de pifor pifor - Membre expert http://www.developpez.com
le 25/02/2010 à 8:29
Citation Envoyé par SQLpro  Voir le message
Rajoute à cela que Oracle fait payer chacun des module supplémentaire :
Spatial, Full text, Backup (herman), outil d'intégration de données, de reporting, alors que tout cela est intégré dans la licence MS.
A +

Oui Spatial est une option facturée séparément mais ce n'est ni le cas d'Oracle Text ni le cas de RMAN (pitié pour l'orthographe ).

Essayez d'appuyer vos affirmations avec des documents officiels Oracle en utilisant la terminologie Oracle comme le Licensing Information 10.2: http://download.oracle.com/docs/cd/B...b14199/toc.htm.
Avatar de pifor pifor - Membre expert http://www.developpez.com
le 25/02/2010 à 8:36
Citation Envoyé par SQLpro  Voir le message
Normal, Oracle fonctionne nativement avec un mode d'isolation des transactions qui n'existe pas de façon normative. Cela dit, depuis la version 2005, MS propose le même mode d'isolation qu'Oracle (SNAPSHOT) décliné en deux versions : READ COMMITTED ou READ/WRITE.
En utilisant systématiquement ce cas, vous n'aurez plus de deadlock.
Encore faut-il le savoir et comme les développeurs sont en général des ignares en matières de SGBDR... cela fait mal !

Le problème de fond des modes d'isolation des transactions du standard SQL c'est qu'ils ne sont pas assez précis. Voir l'analyse que propose Tom Kyte dans cet article d'Oracle Magazine qui dit en particulier
http://www.oracle.com/technology/ora...o65asktom.html

Note that the ANSI/ISO SQL standard defines transaction-level characteristics, not just individual statement-by-statement-level characteristics. I'll examine transaction-level isolation, not just statement-level isolation.

The SQL isolation levels are defined based on whether they allow each of the preceding phenomena. It's interesting to note that the SQL standard doesn't impose a specific locking scheme or mandate particular behaviors, but rather describes these isolation levels in terms of these phenomena—allowing for many different locking/concurrency mechanisms to exist

Notez que l'utilisation du niveau d'isolation READ COMMITTED ne peut pas empêcher de deadlock comme celui décrit dans le Concepts Guide 11.2:
http://download.oracle.com/docs/cd/E....htm#CNCPT1336.
Avatar de orafrance orafrance - Expert éminent sénior http://www.developpez.com
le 25/02/2010 à 8:58
volée de bois vert pour SQLPro... ça lui apprendra à trainer sur le forum Oracle
Avatar de voran voran - Membre actif http://www.developpez.com
le 25/02/2010 à 9:53
Citation Envoyé par SQLpro  Voir le message
Normal, Oracle fonctionne nativement avec un mode d'isolation des transactions qui n'existe pas de façon normative.


La norme devrait mais hélas n'est pas intrinsèquement un gage de perfs et d'efficacité.

Citation Envoyé par SQLpro  Voir le message
Cela dit, depuis la version 2005, MS propose le même mode d'isolation qu'Oracle (SNAPSHOT) décliné en deux versions : READ COMMITTED ou READ/WRITE.
En utilisant systématiquement ce cas, vous n'aurez plus de deadlock.
Encore faut-il le savoir et comme les développeurs sont en général des ignares en matières de SGBDR... cela fait mal !

Comme nous ne sommes pas des "ignares", nous avons posé la question à l'expert SQL Server (SQL2005 à l'époque) en charge de nos TMC au Microsoft Technology Center. Et bien après une première réaction d'indignation, il nous l'a fortement déconseillé.
Bref, nos clients sur SQL Server en font les frais.
Avatar de Pomalaix Pomalaix - Rédacteur http://www.developpez.com
le 25/02/2010 à 10:37
Citation Envoyé par SQLpro  Voir le message
Rajoute à cela que Oracle fait payer chacun des module supplémentaire :...(herman)...


Herman, ich bin ton père !

Bon, cette affirmation est fausse mais un peu vraie quand même.
Rman est une fonctionnalité incluse dans la licence de base, mais on ne peut faire que des sauvegardes sur disque.
Pour en faire sur bande, il faut acheter un pilote MML permettant de communiquer avec la robotique de sauvegarde (par exemple pilote TDP pour TSM). Certes, ledit pilote est fourni non par Oracle, mais par les éditeurs de produits de sauvegarde, mais il n'empêche qu'il faut repasser à la caisse d'une manière ou d'une autre pour faire des sauvegardes RMAN sur bande.

PS : Voran et Orafrance, votre "monologue à deux" est particulièrement indigeste. Battez-vous en privé un bon coup, et revenez nous faire part de conclusions un peu sérieuses.
Avatar de Abigold Abigold - Futur Membre du Club http://www.developpez.com
le 10/06/2010 à 12:42
Il y aussi des améliorations sur:
-la gestion de la mémoire (paramètre MEMORY_MAX_TARGET)
-partitonnement
-Le "IN MEMORY DATABASE CACHE" très similaire au cache de résultat mysql v5.1
-Les sauvergarde RMAN enfin compressées !
-La compression via le reseau

Et concernant la sécurité l'audit est enfin activé par défaut mais il est sucesptible d'engendrer un bug, aussi il vaut mieux le desactiver (!)....

Plus de précisions sur les nouvelles fonctionnalité ici:
http://blog.abigold.fr/joomla/index....-11g&Itemid=62
ou la mise en place de l'audit de sécurité ici:
http://blog.abigold.fr/joomla/index....rite&Itemid=53


Voilà voilà.
JC Abiven
Avatar de orafrance orafrance - Expert éminent sénior http://www.developpez.com
le 11/06/2010 à 9:09
Citation Envoyé par Abigold  Voir le message
Et concernant la sécurité l'audit est enfin activé par défaut mais il est sucesptible d'engendrer un bug, aussi il vaut mieux le desactiver (!)....

comme c'est étonnant
Avatar de Laurent_du_78 Laurent_du_78 - Membre habitué http://www.developpez.com
le 13/08/2010 à 10:51
Citation Envoyé par Abigold  Voir le message
Il y aussi des améliorations sur:
...
-Les sauvergarde RMAN enfin compressées !
-La compression via le reseau
...
JC Abiven

avec compression OLTP, et compression datapump, seulement ce paquet cadeau de compression est une option payante
Avatar de voran voran - Membre actif http://www.developpez.com
le 09/10/2010 à 13:54
Citation Envoyé par Abigold  Voir le message
Et concernant la sécurité l'audit est enfin activé par défaut mais il est sucesptible d'engendrer un bug, aussi il vaut mieux le desactiver (!)....
JC Abiven

Peut on avoir plus d'info concernant ce bug ?

Citation Envoyé par orafrance  Voir le message
comme c'est étonnant

TROLL !!!!!
Arf mince, c'est un modo ...connu des services ....
Offres d'emploi IT
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Architecte de données (H/F)
Société Générale - Ile de France - Ile de France
Analyste SI-métier (poste également ouvert aux stagiaires, alternants et VIE du groupe)-(H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil