Bilgi sistemi varlıklarında son yıllarda rastlanan en ciddi güvenlik sorunlarından birisi de yazılım ya da donanım seviyesinde tespit edilen güvenlik açıklıklarının düzenli takip edilmemesidir. Özellikle üretici firmalar tarafından ilgili yamalar yayınlandıktan sonra saldırganların iletişim kurduğu form, e-posta listesi gibi ortamlarda açıklıklar ve örnek saldırı kodlarının hızla yayılması, yama güncellemesi yapılmayan bilgi sistemleri üzerindeki tehdidin artmasına sebep olmaktadır.

Veritabanı gibi kurumlara ait hassas bilgilerin yer aldığı bilgi sistemi varlıklarında yama takibine diğer sistemlere nazaran daha fazla önem gösterilmeli ve özellikle güvenlik amacıyla yayınlanan yama paketleri kısa süre içerisinde uygulanmalıdır. Son yıllarda bulunan açıklıklar sebebiyle yama yapılmayan Oracle veritabanı sistemlerinde servis dışı bırakma, yetki yükseltme, yetkisiz bağlantılarla yetki elde etme gibi ciddi açıklıkların bulunduğu gerek üretici firma [1] gerekse diğer güvenlik otoriteleri tarafından [2][3][4][5]  ifade edilmektedir.

Oracle, tespit edilen güvenlik açıklıklarına yönelik Ocak, Nisan, Temmuz ve Ekim aylarında olmak üzere yılda dört kez kritik yama güncellemesi (Critical Patch Update - CPU) yayınlamaktadır. Yayınlanan yamaları düzenli olarak takip etmek için Oracle web sitesinden (http://www.oracle.com) Oracle Technology Network → Security → Critical Patch Updates yolu takip edilmelidir [1]. Veya aynı sitede yer alan RSS linkine (http://www.oracle.com/technology/syndication/rss_otn_sec.xml) bir RSS okuyucu ile üye olunmalıdır.

Kritik yama güncellemeleri işletim sistemi ve işlemci mimarisine bağlı olarak farklılık göstermektedir. Bu sebeple öncelikle kullanılan işletim sistemi ve veritabanı sürümü için hangi CPU’nun indirilmesi gerektiği belirlenmelidir. CPU ile ilgili referansın “Patch Availability Table and Risk Matrices” bölümünde yer alan tabloda farklı sistem ve veritabanı sürümlerine uygulanacak yamalar ile ilgili Metalink notuna link vardır. Örnek bir tablo aşağıda yer almaktadır.

Bu linkte yer alan notu okuyabilmek ve daha sonra ilgili CPU’yu indirebilmek için Metalink üyeliğine ihtiyaç vardır. Notun “Patch Availibility” bölümünde platform ve Oracle sürümlerine göre yama numaraları listelenmektedir. Örnek bir tablo aşağıda yer almaktadır.

İlgili CPU paketinin indirilebilmesi için Metalink’e (http://metalink.oracle.com) giriş yaptıktan sonra:

•    “Patches and Updates” sekmesi seçilir.

•    “Simple Search” linki tıklanır.

•    “Search By” alanında “Patch Number” seçilir.

•    CPU paketinin numarası ve platform seçilerek “Go” düğmesine basılır.

•    Listelenen CPU indirilir.

Örnek bir arama ekranı aşağıda yer almaktadır. İndirme linkinin yanında CPU ile ilgili bilgiler ve kurulum notlarını içeren bir web bağlantısı da yer almaktadır.

İndirme işlemi tamamlandıktan sonra arşiv dosyası açılır ve CPU numarası ile adlandırılan dizine girilir ve aşağıdaki komut çalıştırılır.

> $ORACLE_HOME/OPatch/opatch apply

CPU yama paketleri veritabanı sisteminde beklenmedik bir hata üretirse yine CPU dizinine girildikten sonra aşağıdaki komut ile yama geri alınabilir.

> $ORACLE_HOME/OPatch/opatch rollback -id [CPU_No]

Yüklenen yamaları listelemek için aşağıdaki komut çalıştırılabilir.

> $ORACLE_HOME/OPatch/opatch lsinventory

Örnek bir yama listesi şu şekildedir.

Referanslar

[1]    Oracle, “Critical Patch Updates and Security Alerts”, http://www.oracle.com/technology/deploy/security/alerts.htm

[2]    SANS Institute, “SANS Top-20 2007 Security Risks”, http://www.sans.org/top20/

[3]    Red Database Security, “Oracle Exploits”, http://www.red-database-security.com/exploits/oracle_exploits.html

[4]    Secunia, “Oracle Database 10.x – Vulnerability Report”, http://secunia.com/product/3387/? task=advisories

[5]    Secunia, “Oracle9i Database Enterprise Edition – Vulnerability Report”, http://secunia.com/product/359/?task=advisories

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.