Oracle Security Patch Updates (SPU) en Security Alerts

Oracle heeft een uitgebreide portfolio software-produkten en zoals alle software bevat ook Oracle’s produktlijn van tijd tot tijd kwetsbaarheden. Om deze te herstellen worden regelmatig patches uitgebracht.

Voor de RDBMS Server (database) Software zijn er twee type Patches:

Reactive Patches:

• Are usually delivered as “Interim Patches”
• Were historically known as “one-off” patches
• Are provided on demand for a given “defect, version, platform” combination
• Go through basic sanity tests
• Fixes will usually be included in the next relevant Patch Set Release
• Each Patch Set has a “code freeze” date beyond which only “show-stopper” fixes are included.
• If a fix misses the next Patch Set it will be included in the subsequent Patch Set (if there is one)

Proactive Patches:

• address high impact bugs that affect a given configuration
• contain proven low risk fixes
• go through extra levels of testing, determined by the feature(s) affected
• are available on “My Oracle Support” by clicking on the “Patches & Updates” tab

Begin 2018 heeft Oracle een nieuwe nummering geïntroduceerd. In tegenstelling tot de “oude” nummering zoals 12.2.0.2 (versie 12, Major Release 2, patchupdate 1) zullen alle patchlevels na versie 12.2.0.1 als volgt worden opgebouwd: Year.Update.Revision. Patchset 12.2.0.2 zal dus 18.1.0 worden.

Proactive Patches (RU / RUR / SPU / PSU / Bundle Patches / ODA Bundle Patches)

De verschillende proactieve patch methodieken kunnen als volgt worden gevisualiseerd:

Oracle brengt meerdere type patches uit voor Database en Grid-Infrastructure installaties, namelijk:

• Quarterly Release Updates (RUs) and Quarterly Release Update Revisions (RURs) – Applies to Database 18.1.0 and later
• Quarterly Patch Set Updates (PSUs) and Quarterly Proactive Bundle Patches (BPs) – Applies to Database 12.1.0.2 and prior
• One-off Patches – Applies to all Database versions

Vanaf database versie 12.2.0 zullen RUs de Bundle Patches vervangen en RURs zullen PSUs vervangen. Zie voor meer informatie aangaande RUs en RURs zie MOS Docid: Release Update Introduction and FAQ (Doc ID 2285040.1).

• RUs are proactive, highly tested bundles of critical fixes which enable customers to avoid known issues. They are specific to a particular annual release.
• RURs contain security and regression fixes to a RU that extend the RU’s lifetime up to two quarters. They are specific to a particular RU.
• The legacy terms ‘Patchset’, ‘Patchset Update’, and ‘Database Bundle Patch’ will no longer be meaningful for 12.2 database software.

Oracle kent de volgende terminologie m.b.t. de proactieve patches:

RURs | Patch Set Updates (PSU):

(Engels)

• A cumulative collection of fixes for proven high impact bugs encountered in the field
• Includes the security fixes that are released as part of the CPU program
• Guaranteed not to contain any changes to the optimizer or fixes which change application behavior
• May span multiple stack components
  For example: “Database Grid Infrastructure PSU” (GI PSU) includes fixes for both the Grid Infrastructure and the Database
• Delivered on pre-defined quarterly schedule
• Database PSU and Database Grid Infrastructure PSU are always RAC Rolling and Standby First installable.
• OJVM PSU is neither RAC Rolling nor Standby First installable

Dit zijn cumulatieve patches waarin alle voorgaande SPU patches zijn samengevoegd met een aantal andere belangrijke fixes. Deze patches hebben een kleine versie verandering tot gevolg, bijvoorbeeld 11.2.0.1.1 naar 11.2.0.1.2.

Security Patch Update (SPU):

(Engels)

• A cumulative collection of security fixes released as part of Oracle’s Critical Patch Update (CPU) program
• Delivered on pre-defined quarterly schedule
• Database SPU are always RAC Rolling and Standby First installable
• Note: Database SPUs are being phased out from Database Release 12c – CPU program security content will be delivered in the appropriate Bundle Patch or PSU (see below).

SPU patches komen elk kwartaal uit en hierin worden alleen security fixes gedaan. Deze SPU patches zijn alleen beschikbaar voor Linux gebaseerde besturingssystemen; voor Windows worden de zogenaamde Bundle Patches (zie hieronder) uitgebracht. SPUs zijn cumulatief, maar er moet wel een bepaald patch level aanwezig zijn om te toe te kunnen passen. SPU patches zijn de patches die voorheen CPU patches heetten.

RU | Bundle Patches (BP):

BPs kun je zien als een PSU.
(Engels)

• A cumulative collection of fixes to address bugs in a given feature, product, or configuration
• For example: Windows Database Bundle Patch, Database Patch for Exadata, Database Proactive Bundle Patch
• A superset of PSU
• May span multiple stack components
• For example: “Database Patch for Exadata” includes fixes both Database and Grid Infrastructure
• Delivered on pre-defined schedule, which may be more frequent than PSU releases
• Are always RAC Rolling and Standby First installable
• As of April 2016, the Database Patch for Engineered Systems and Database In-Memory has been renamed to “Database Proactive Bundle Patch”

OJVM RUR/PSU:

Voor databases (geen GI) brengt Oracle patches voor de JVM component uit.
(Engels)

• Include critical fixes for the Oracle JavaVM component within the Oracle Database
• Are packaged separately from the Database PSU/RU (or equivalent) as they cannot be installed in a RAC Rolling manner, nor in Standby First manner.
• Keeping them separate allows customers to choose the most appropriate patching approach for each system
• Oracle has also released “Combo” patches that bundle the OJVM PSU/RU in the same ZIP file as DB PSU/RU and/or GI PSU/RU for ease of download. The OJVM component in these “Combo” patches is in a separate subdirectory with its own install steps still required. October 2014 “Combo” patches do not include the JDBC Patch.
• Are applicable to all database installations regardless of which patching model is used (DB RU, GI RU, DB RUR, GI RUR, DB PSU, GI PSU, Security Patch Update (SPU), Windows Bundle Patch or Database Patch for Exadata)
• Require the database home to be patched to at least October 2014 DB PSU (or equivalent)
• Include binary changes to be applied to each Database ORACLE_HOME, and “post install” steps to be execute on each database running from the ORACLE_HOME
• From January 2015 onwards: include the JDBC fixes
• Oracle Database Release 12.2 does not need the JDBC fixes. Hence, only a quarterly RU for the OJVM component is provided.
• For situations where the latest OJVM PSU/RU cannot be installed immediately there is a “Mitigation Patch” (Patch 19721304) that can be used as describe below.

ODA Bundle Patches (ODA BP):

In tegenstelling tot een “normale” Bundle Patch (BP) bevat een ODA BP naast patches voor GI en RDBMS ook patches voor het OS en de hardware.
(Engels)

• All patching of Oracle Database Appliance is done using the quarterly Oracle Database Appliance patch bundle.
• The patch bundle provides all relevant patches for the entire system, including the following: BIOS
• Hardware drivers, Hardware Management Pack (HWM), and firmware drivers for various components
• Oracle Appliance Manager
• Oracle Linux
• Oracle VM
• Java Development Kit (JDK)
• Oracle Integrated Lights Out Manager (Oracle ILOM)
• Oracle Database Patch Set Update (PSU)
• Oracle Auto Service Request (Oracle ASR)
• Oracle Grid Infrastructure
• Intelligent Platform Management Interface (IPMI)

Wat kan / moet ik daarmee?

Elk kwartaal, op de dinsdag het dichtst bij de 17de van januari, april, juli en oktober, brengt Oracle een Critical Patch Update (CPU) uit. Afhankelijk van de versie en het platform worden deze Security Fixes verwerkt in de verschillende Proactieve Patches (RU/RUS/SPU/PSU/BP/PBBP). Afhankelijke van de lekken die zijn gedicht en de ernst daarvan moet deze worden toegepast op de diverse Oracle componenten die worden geraakt. De donderdag voordat de CPU daadwerkelijk wordt uitgebracht komt Oracle met een Pre-Release Advisor. Hierin staat alle noodzakelijke informatie aangaande de CPU. Afhankelijk van die informatie moet worden beslist of het noodzakelijk of zinvol is om de CPU te installeren. Klanten die graag de informatie aangaande de CPU ontvangen kunnen zich hier aanmelden: http://www.oracle.com/technetwork/topics/security/securityemail-090378.html Klanten die producten hebben die nog in Premium Support zijn (meer informatie aangaande de diverse support niveaus op https://www.dba.nl/oracle-database-12-2-en-verlenging-ondersteuning-11-2-mar-6-2017/) krijgen wanneer ze inloggen op support.oracle.com een melding aangaande de SPU.

Welke Proactieve Patch moeten wij toepassen?

Het toepassen van de Database Security Patch Update (SPU) is nog steeds beschikbaar voor Oracle 12.1 en wordt nog steeds beschouwd als een valide Patch methodiek. Deze methodiek heeft qua toepassen het laagste risico en behoeft het minst qua testen. Voor Oracle 12.2 databases is dit geen optie aangezien er geen SPUs meer worden uitgebracht voor deze versie. T.a.v. Oracle 12 databases is het advies van Oracle als volgt:

• Elke gebruiker zou op zijn minst elk kwartaal de laatste PSU moeten toepassen.
• Voor Oracle 12.1.0.2.0 klanten die een volledigere set van fixes willen, moeten gebruik maken van de Database Proactive Bundle Patch (DBBP).

Aangezien er in een PSU naast de Security Fixes ook Critical Fixes zitten betekent dat het toepassen hiervan iets meer testen vergt dan bij een SPU. Oracle garandeert dat er in een PSU geen Optimizer wijzingen zitten en ook geen wijzingen die het gedrag van applicaties zou kunnen veranderen. Dit betekent dat het toepassen van een PSU geen testen op applicatieniveau vereist.

De DBBP is een PSU Superset wat betekent dat deze naast Security en Critical Fixes ook functionele wijzingen bevat. Aangezien er meer gewijzigd wordt moet er ook meer worden getest. In tegenstelling tot de PSU zal na het toepassen van de DBBP ook de applicaties moeten worden getest.

Onderstaande tabel komt uit het MOS Document “Overview of Database Patch Delivery Methods (Doc ID 1962125.1)” waarin de verschillende patchmethodes worden beschreven:

T.a.v. de verschillende Patches geldt dat de verschillende Patch methodes (BP, PSU of SPU) niet kunnen worden gemixt in dezelfde ORACLE_HOME (OH). Wanneer een DBBP is toegepast op een bepaalde OH is het niet mogelijk om later een PSU op deze OH toe te passen. Tenzij de DBBP worden teruggedraaid. Visa versa geld hetzelfde. Het is dus zaak om vooraf te bepalen welke methode in te zetten. DBA.nl raad aan om gebruik te maken van PSUs voor Linux omgevingen en van de BPs voor Windows.

Wat raadt DBA.nl aan voor het toepassen van updates?

Wij raden aan een SPU, PSU of Bundle Patch zo snel mogelijk nadat hij is uitgebracht toe te passen op een representatieve test-omgeving. Hiermee kunt u beoordelen:

1. Hoe lang het ongeveer zal duren om de patch toe te passen op de produktie-omgeving
2. Of uw omgeving wellicht ongemerkt configuratie-/software-issues heeft die het succesvol toepassen van de patch op de produktie-omgeving zouden kunnen frustreren
3. Of de patch zelf van invloed is op het functioneren van uw omgeving
   Aangezien het voorbereiden en correct uitvoeren van een update tamelijk veel van uw kostbare tijd kan vergen kan het lonen om dit werk uit te besteden. Hiertoe levert DBA.nl de Security Patch-dienst.

Wat is de DBA.nl Security Patch-dienst?

De standaard SLA van DBA.nl omvat geen proactief patchen want velen kiezen ervoor dit zelf te doen. Als aanvullende dienst kunnen wij u dit werk uit handen nemen.

• Elk kwartaal wordt door DBA.nl bekeken (gebruik makend van de Pre-Release Advisor) of de laatste uitgebrachte patch van toepassing is op een of meerder Oracle componenten binnen uw omgeving. Het resultaat hiervan zal worden gerapporteerd.
• Voor Oracle 11 omgevingen zal de SPU patch in de test omgeving worden toegepast op de Oracle componenten waarop de patch van toepassing is. Dit wordt in overleg met u ingepland
• Ingeval het een Oracle 12 omgeving betreft, raadt DBA.nl aan om de PSU toe te passen; deze wordt in overleg met u ingepland.
• Wanneer de gepatchte testomgeving minimaal een week zonder noemenswaardige problemen heeft gefunctioneerd kan het toepassen van de SPU of PSU op de produktie-omgeving worden ingepland. Het streven is om de patch binnen een maand na het uitbrengen ervan te hebben toegepast op uw produktie-omgeving.
• [Optioneel] Indien gewenst is het mogelijk om af te spreken om elk kwartaal een DBBP toe te passen. Aangezien hier ook functionele wijzingen in zitten zal er in samenspraak met de klant een testplan moeten worden opgesteld

Bronnen
Document:

• Assistant: Download Reference for Oracle Database/GI PSU, SPU(CPU), Bundle Patches, Patchsets and Base Releases (Doc ID 2118136.2)
• Master Note For OPatch (Doc ID 293369.1)
• Master Note for Database Proactive Patch Program (Doc ID 756671.1)
• Oracle Recommended Patches — “Oracle JavaVM Component Database PSU and RU” (OJVM PSU and OJVM RU) Patches (Doc ID 1929745.1)