Oracle Patch Mythos

Robert Marz: Gute Johannes, heute müssen wir über ein aktuelles Thema reden. Oracle hat seinen Patch-Release-Zyklus geändert. Warum denn das?

Johannes Ahrends: Robert, yo, das habe ich auch gehört, aber vielleicht ist es ja auch nur ein Mythos und es beschäftigt uns nicht weiter. Aber ich glaube fast, dass wir uns ein bisschen intensiver damit auseinandersetzen müssen. Nicht nur wir beide oder wir drei, sondern alle, die mit Oracle-Datenbank zu tun haben.

Robert Marz: Ich glaube, Mythos ist auch das Stichwort. Damit hat es was zu tun, oder? Da gab es doch jetzt das neue KI-Modell. Und warum brauchen wir jetzt kürzere Patchstückchen?

Johannes Ahrends: Gut, also einmal muss man natürlich so bisschen ausholen, was Mythos bedeutet. Mythos ist also die neue LLM von Anthropic und die ist wohl so gefährlich, dass man den nicht auf die Menschheit hat loslassen wollen, sondern zunächst mal Unternehmen wie Microsoft und Amazon und sonst wem die Möglichkeit geschaffen haben zu schauen. Was nämlich Mythos gebracht hat, ist jede Menge Ja, Sicherheitsschluss.

Robert Marz: Wie kann dann ein LNN-App gefährlich sein? Das redet doch erstmal nur, oder?

Johannes Ahrends: Na ja gut, es schaut sich natürlich schon mal ein bisschen und je nachdem worauf ich es loslasse, kann es halt früher oder später Informationen finden oder Lücken finden, die so nicht gewollt sind. Und beim Mythos ist es eben unter anderem so, dass ein insgesamt schon 27 Jahre alter Sicherheitslücke im Linux Betriebssystem entdeckt wurden, anderem. Und das eben dazu geführt hat, dass man jetzt sagt, okay, Wir können das nicht einfach so laufen lassen, denn jeder kann diese Sicherheitslücken ausnutzen, sondern in diesem Projekt Glasfisch hat man dann gesagt, wir stellen es den Unternehmen zur Verfügung, diese Sicherheitslücken zu den nächsten Mal zu schließen. Und Oracle gehört, wie ich in der Dokumentation von Oracle gelesen habe, zu den, ich weiß nicht, ob glücklich oder unglücklichen Unternehmen, die da diesen Preview nutzen dürfen, Bugfix zu betreiben beziehungsweise Sicherheitslücken zu beheben, bevor sie bekannt werden.

Robert Marz: Ok, erstmal das Projekt heißt glaube ich Claas Wingen, nicht Claas Fisch. Nur falls das jemand googeln will. Und das heißt also Oracle sucht gerade Sicherheitslücken in seinen Produkten und findet offensichtlich so viele, dass wir jetzt schneller patchen müssen oder häufiger patchen müssen. Richtig?

Johannes Ahrends: Zumindest sieht es so danach aus, dass es nicht mehr reicht diese Quartalsmäßig Patches zu nutzen und zusätzlich diese MRPs, die es ja auch heute schon gibt, sondern dass Oracle angekündigt hat, man müsste zusätzlich auch noch sogenannte monthly CSPUs herausgeben muss.

Robert Marz: Vielleicht fangen wir auch noch mal bisschen vorher an. Bisher war es ja so, wir haben einmal im Quartal einen Patch gekriegt, das war glaube ich auch immer terminiert, das war immer irgendein fester Wochentag, erster Tag im Quartal oder irgendwie sowas oder weißt du es genau?

Johannes Ahrends: Es ist der am Mitte des Monats am nächsten liegende Dienstag und dann im ersten Monat eines neuen Quartals.

Robert Marz: Jetzt kriegen wir also jeden dritten Dienstag im Monat einen zusätzlichen Patch.

Johannes Ahrends: Nee, den hatten wir bislang auch schon. Das hieß mal RURs. Also das, wir kriegen, sind ja die Release Updates. Das sind die quartalsmäßigen Patches. Und dann gab es für eine ganze Weile die sogenannten Release Update Revisions. Das waren die RURs. Die gab es, glaube ich, bis vor etwa zwei, drei Jahren. Danach hat Orake gesagt, nee, das ist auch nicht optimal. Das heißt, es gibt jetzt zusätzlich zu den Quartalsmäßigen Patches, Monthly Release Updates oder Monthly Release Patches und die beglücken uns eigentlich jetzt schon seit zwei Jahren.

Robert Marz: Das heißt, es ist eigentlich gar nichts neu.

Johannes Ahrends: Ja, ich muss fast sagen, es ist tatsächlich nichts neu, womit man sich natürlich hierbei jetzt festlegt auf Critical Security Patch Updates. Das scheint noch mal eine Stufe über dem Monthly Release Patches zu sein.

Robert Marz: Das heißt Oracle released jetzt wirklich monthly kritische Patches, also so Zero Days, mit denen man die Datenbank ohne, dass man angemeldet sein muss, übernehmen kann oder solche Dinge, die released es jetzt monatlich und die kommen dann monatlich auch wirklich raus. Und das bedeutet ja, dass wir tatsächlich alle gut geraten sind, die dann auch schnell einzuspielen, weil wenn der Patch draußen ist, kann man ja dann auch relativ einfach in der Regel auf einen Exploit zurückschließen, oder?

Johannes Ahrends: Genau so ist es. Ja, das heißt, Oracle empfiehlt natürlich ein permanentes Patching und das ist natürlich für die Unternehmen auch super einfach, wenn sie in der OCI Cloud sind. Das heißt, Oracle macht natürlich damit auch wieder Werbung für seine eigenen Cloud-Dienste, indem sie halt sagen, ja, wenn ihr bei uns in die Cloud kommt, dann werden natürlich solche Patches automatisch eingespielt in der Autonomous Database. merkt ihr nicht mal etwas davon und deshalb ist das also die super tolle Methode, aktuell zu sein und eben auch keine Sicherheitslücken zu haben. Und das bedeutet umgekehrt, die Kunden, die nicht in der OCI sind, werden natürlich jetzt extrem unter Druck gesetzt.

Robert Marz: Ja, das war ja die Kernaussage von diesen Autonomous Databases. Autonomous heißt, Oracle macht das automatisch für euch. Es läuft nicht zwingend automatisch im Hintergrund, sondern wird von Oracle gesteuert. Aber die Kunden müssen damit nichts zu tun haben. Das ist ja so die Kernidee. Und ich glaube, ganz schlecht ist es ja nicht. Aber das heißt, müssen diejenigen, die meisten von uns haben ja auch oder fast nur Datenbanken on-premises. Wir müssen jetzt trotzdem zusehen, dass wir so bald wie möglich updaten, insbesondere natürlich alle Datenmanken, die aus dem Internet erreichbar sind.

Johannes Ahrends: Ja, also absolut. Die Datenbanken, die aus dem Internet erreichbar sind, die müssen einmal im Monat durch den Patch Day abgedatet werden. Wie auch immer man es damit erreicht, dass das mehr oder weniger seamlessly, wie Maria Kolger das immer so gerne genannt hat, geht. Sprich, in den meisten Fällen gehe ich davon aus, dass es zumindest mit einer geringen Downtime verbunden sein wird. Und das muss man jetzt quasi pro Monat planen.

Robert Marz: Der letzte reguläre Quartalspatch ist ja auch schon verspätet gekommen. glaube aus genau diesem Grund, oder? Das heißt, ist ja erst Ende April oder jetzt Anfang Mai rausgekommen. Das weißt du besser als ich.

Johannes Ahrends: Ja, ist zwar so gewesen, dass er eigentlich am 21. April, wenn ich das richtig sehe, herauskommen sollte. Dann wurde er verschoben auf den 28. April, also um eine Woche. Und dann wurde er nochmal verschoben auf den 30. April, sodass man rechtzeitig zum Feiertag am 1. Mai sich dann die neue Version herunterladen konnte, die jetzt mittlerweile halt dadurch einige Zeit ins Land gehen lassen hat, was dazu geführt hat, dass es schon wieder eine ganze Reihe von Patches gibt, die man zusätzlich einspielen sollte, wenn man diesen Release Update macht.

Robert Marz: Ok, und das nächste Monats-Patch-Update ist jetzt geplant für den 28. Mai. Das heißt also weniger als einen Monat nach dem Quartals-Update. Hand auf Herz, würdest du es einspielen oder nicht?

Johannes Ahrends: Hand aufs Herz, ich weiß es nicht.

Robert Marz: Okay, das heißt, was redest du deinen Kunden? Einspielen oder erst testen und dann einspielen oder einfach unbesehend einspielen? Also denkst du die Sicherheitslücken sind so kritisch, dass man auf jeden Fall erst patcht und dann testet oder?

Johannes Ahrends: Die Frage ist, wie sind die Zyklen bei den Kunden, was Patchen angeht? Ich kann zwar jetzt knallhart behaupten, ich spiele die sofort ein. Ich gehe davon aus, dass Oracle da mit großer Sorgfalt hintersteht und sagt, die Patches sind so ausgelegt, dass sie möglichst keine Nebenwirkungen haben. Aber das behindert ja trotzdem den Kunden. Das heißt, er braucht trotzdem eine Downtime. Und das bedeutet, er muss das Ganze in seinen Zyklen die er da aufgebaut hat über lange Jahre und die in anderen Gruppen natürlich auch benutzt werden. Betriebssystem, Patches. Wir sind ja nicht alleine auf dem System. Da gibt es die Windows Leute, die ihre Patches einspielen. Da sind die Betriebssystem Leute, da sind die Storage Leute, da sind die Netzwerkleute. Die sind ja alle davon betroffen.

Robert Marz: Und der nächste Quartalspatch ist ja dann schon wieder für Juli geplant. Das heißt, wenn ich jetzt mich entscheiden sollte, meine Datenbanken sind nicht so exponiert, dass ich auf diese Monats-Critical-Security-Updates verzichten kann, wenn ich einfach den nächsten Quartalspatch mitnehme, habe ich dann auch alles oder vermisse ich dann fixes?

Johannes Ahrends: Ist ein guter Punkt. Prinzipiell hätte ich jetzt vorher gesagt, ich habe alles bis zu diesem Zeitpunkt, die sind ja immer kumulativ, die Release Updates. Allerdings sagt Oracle mittlerweile auch schon, naja, so ein Release Update, wenn der rauskommt, dann ist der eigentlich schon drei Monate alt. Das heißt also, das was ich bekomme birgt natürlich schon wieder Risiken und Nebenwirkungen. Da fing Urake zum Beispiel an, dass man sagt, okay, wenn man Release Update macht, sollte man zusätzlich noch das aktuelle JDK mit einspielen, also das Patch für den JDK. Jetzt gehe ich davon aus, dass du zu so einem Zeitpunkt dann natürlich auch zusätzlich alle Security Patches mit einspielen musst, die dann angefallen sind.

Robert Marz: Das heißt, bekommen wir mal ein neues Quartalspatch und muss die Monatspatch trotzdem zwischen nachziehen plus das JDK nachziehen. Plus ich Datapump ist ja auch immer noch so ein Beliebtes, was immer noch mal extra mit gepatcht wird. Plus weiß ich nicht, fällt dir noch was ein, was noch mitkommt?

Johannes Ahrends: Ja, leider eine ganze Menge, weil ich bin nämlich gerade bei einem Kunden dabei das 31er, also das von April jetzt einzuspielen. Dabei ist mir aufgefallen, dass es etwas Neues bei Urake gibt, zumindest was die Version 19 angibt. Es gibt Gold-Images von der Version 19. Einmal mit und einmal ohne Clusterware, also so dass ich die in der Grid Infrastructure installieren kann und auch ohne.

Robert Marz: Ich ich

Johannes Ahrends: Also normalerweise gehst du hin, installierst einen Bass Release, installierst dann das RU, installierst dann das Data Pump Bundle Patch etc. pp. Also die ganzen Sachen, die dir gerade mal so unter die Finger kommen.

Robert Marz: Base Release ist immer noch bei Oracle 19, immer noch 1902 oder 1903 oder sowas das erste, oder? Also von ganz schön lange her. Und dann muss man ja wahrscheinlich auch mal schon mit Tricks arbeiten. Also ich mache das ja nicht so oft, aber wenn ich es tue, weiß ich, dass man das, dass die 1903er immer in den Oracle, also in den Linux 7 erwartet, das schon längst nicht mehr supported ist. Wir sind ja alle auf 8. Das heißt, da muss ich das Ding erst mal patchen, um es überhaupt installieren zu können und dann den aktuellen Patch Update drauf. Richtig?

Johannes Ahrends: Genau, so ein bis 27 Stück so nach dem Motto. Ja, ich habe jetzt für einen Kunden habe ich das dann endlich fertig geschrieben, das zu automatisieren. Dann ist Auto Upgrade gekommen und hat das automatisiert. Und jetzt kommt Oracle an und sagt, wir bauen euch das mal zusammen. Und ich habe, wie gesagt, das gerade mal vor ein paar Tagen beim Kunden ausgepackt und dann den O-Patch LS Inventory beziehungsweise LS Patches da mal drüber laufen lassen. Und ich glaube, das waren so die 15 Patches beziehungsweise Patch Sets, die da schon wieder drin enthalten waren. Ja, das heißt, auf der einen Seite ist das sehr gut, dass Oracle hingeht und sagt, wir stellen dir ein Gold Image zur Verfügung, damit du nicht alles alleine machen musst. Aber auf der anderen Seite bedeutet es aber auch oder man sieht daran sehr deutlich, dass es in allen Bereichen Patch-Notwendigkeiten gibt, Security-Lücken zu schließen, sonstige Fehler zu beheben. Das heißt, das ist ein wirklich kontinuierlicher Prozess.

Robert Marz: Klingt für mich jetzt so, als ob es mit dem Gold Images einfacher wird, aber erst einmal komplizierter, weil wir alle unsere eingespielten Installationsprozesse aktualisieren müssen. Das Vorgehen zumindest.

Johannes Ahrends: Nicht unbedingt, weil in der Regel, wenn ich eine bisschen größere Umgebung habe mit 2, 3, 4 oder 10 oder 100 oder 200 Datenbanken, dann baue ich mir sowieso ein Gold-Image. In-Place wird sowieso nicht mehr gepatcht. Wer das noch tut, der ist einfach auf falschen Dampfer. Das heißt, wir patchen out of place und out of place bedeutet, ich baue mir ein Gold-Image und installiere das. Und da nimmt mir Oracle dann doch so zwei, drei Tage Zeit ab, das Ganze zusammenzusuchen. Wie gesagt auch noch mit der Qualität von diesen diversen Subpatches, die es da noch gibt. das ist also wirklich absolut positiv zu sehen.

Robert Marz: Okay, für mich nochmal, nur damit ich es richtig verstanden habe, als Entwickler in-place heißt, ich habe eine Installation und würde die bestehende Installation dort, die Datenbank runterfahren, einen Patch drauflaufen lassen und das gleiche Oracle Home wieder hochfahren und out of place heißt, ich baue mir parallel dazu ein neues Oracle Home, patche das in Ruhe und fahre dann die Datenbank im alten Home runter und im neuen wieder hoch. Und das ist der bevorzugte Weg von Oracle, richtig?

Johannes Ahrends: Ja, du könntest DBA werden.

Robert Marz: Irgendwann überleg ich's mir doch nochmal.

Johannes Ahrends: Ja, genau so ist es. Das ist mit Sicherheit auch etwas, was man kontrovers diskutieren kann. Ich glaube aber nicht, dass momentan ein Weg daran vorbeigeht. Aber das können wir ja nochmal in einem extra Podcast näher erläutern.

Robert Marz: Gut, wie immer schaut dann die Show Notes, da verlinken wir euch alles hilfreicher, die Links zu den aktuellen Patch Updates und wir freuen uns jede Opinierung und jede Empfehlung und dann sag ich Tschüss.

Johannes Ahrends: Tschüss und bis bald!