user SYS dan 'jarang' dipakai oleh user (Ketika Anda
create user baru, kemungkinan besar user tsb tidak
butuh akses ke package bermasalah tsb).
Kalau Anda apply patch yg bersangkutan, maka
kemungkinan package2 tsb sudah diperbaiki.
Tapi kalau Anda belum sempat apply (krn pertimbangan
tertentu), maka menarik privilege package dari public
adalah solusi cepat. Tentu mesti dicheck apabila ada
user yg akan ter-impact, sehingga privilege tsb bisa
digrant ke user yg benar2 butuh.
Role connect juga mesti hati2 sebelum di-grant, karena
didalamnya mengandung privilege yg sebenarnya tdk
berhubungan dengan kata 'connect' (priv 'create
session' sudah cukup utk konek ke db).
Selain itu ide utk meng-grant privilege baru ke role2
yg udah ada dr sononya (connect,resource) jg gak
bagus, kedepannya akan membingungkan. Lebih baik buat
role baru.
Dan perlu diingat, hal2 diatas hanya sebagian dr
problem yg ada. Apply patch adalah yg terbaik.
regards,
tomi
--- Ervin Listyawan <[EMAIL PROTECTED]> wrote:
> Berarti package-2x tsb mesti digrant ke user
> tertentu (misal sys,
> sysdba, user lain) dan mesti dicabut dong grant yang
> ke public tsb
> (pakai revoke), satu per satu?
>
> Apakah ini memungkinkan (krn defaultnya kan ke
> public)? Berarti kalau
> create user, mesti tambah grant manual. Atau
> bagaimana kalau digrant-
> kan ke role yang defaultnya user pasti butuh (misal
> connect)?
>
> Apakah ini menyelesaikan masalah vulnerability tsb?
>
> Rgds
>
> Ervin L
>
> --- In [email protected], Tomi Wijanto
> <[EMAIL PROTECTED]>
> wrote:
> >
> > Belum apply patchnya. Cuma patch yg ini termasuk
> > critical karena memperbaiki cukup banyak lubang
> dalam
> > hal privilege user (yg harusnya gak boleh
> dilakukan
> > ternyata bisa diakalin, biasanya melalui package
> > standar yg di-grant ke public scr default).
> >
> > website ini cukup membantu
> > http://www.red-database-
> security.com/advisory/oracle_cpu_apr_2006.html
> >
> >
> > Bagaimana mengecek vulnerability database?
> > Check saja versi database bersangkutan.
> > Kalau tidak sempat apply patch, maka privilege
> execute
> > package2 bersangkutan yg di grant ke public bisa
> > dihilangkan dulu..
> >
> > regards,
> > tomi
> >
> > --- Ervin Listyawan <[EMAIL PROTECTED]> wrote:
> >
> > > Saya lihat di http://www.us-cert.gov/ kalau
> Oracle
> > > punya multiple
> > > vulnerabilites, dan saya cek di website Oracle
> ada
> > > beberapa critical
> > > update April 2006
> > >
> >
>
(http://www.oracle.com/technology/deploy/security/pdf/cpuapr2006.html)
> .
> > >
> > > Ada yang sudah coba belum, dan criticalnya
> sendiri
> > > bagaimana tingkat
> > > bahayanya, bagaimana checking vulnerabilities
> tsb?
> > >
> > > Regards,
> > >
> > > Ervin L
> > >
> > >
__________________________________________________
Do You Yahoo!?
Tired of spam? Yahoo! Mail has the best spam protection around
http://mail.yahoo.com
--
-----------I.N.D.O - O.R.A.C.L.E---------------
Keluar: [EMAIL PROTECTED]
Website: http://indo-oracle.lizt.org (NEW)
-----------------------------------------------
Bergabung dengan Indonesia Thin Client User Groups,
Terminal Server, Citrix, New Moon Caneveral, di:
http://indo-thin.vze.com
YAHOO! GROUPS LINKS
- Visit your group "indo-oracle" on the web.
- To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
- Your use of Yahoo! Groups is subject to the Yahoo! Terms of Service.
