[Database, Support] OJVM patch: Standby-First patching, yes or no?

原文はこちら。
https://blogs.oracle.com/UPGRADE/entry/ojvm_patch_standby_first_patching

OJVMパッチという"wonderful"なトピックについて過去何度かブログを書いてきましたが、私をたたかないでください。弊社の幹部がこのエントリを認識していると思って間違いありません。
とにかく、過去数ヶ月でいただいた、OJVMパッチに関するいくつかの一般的な質問に対する回答をまとめたいと思います。

PSUやBPを適用する際に毎回OJVMパッチを適用する必要がありますか?

残念ながら、これは1回だけやって終わりというわけには行きません。毎回実施する必要があります。

データベースでOJVMを利用しているかどうかをどうやって判断すればよいのでしょうか?

以下のエントリで判断できるようにしようとしました。
https://blogs.oracle.com/UPGRADE/entry/jvm_java_in_the_database
でも、最善の方法は、使う予定がないのなら、OJVMを最初からインストールしないことです。後から削除するより後でインストールするほうがずっと簡単です。

OJVMパッチはローリングパッチ適用が可能ですか?それとも最初にstandby-firstパッチが可能でしょうか?

いいえ、残何ながら、OJVMパッチはRAC環境でローリングパッチ適用することはできませんし、standby-firstパッチ方式も使うことができません。
My Oracle Supportのサポート・ドキュメントに記載があります。
Oracle Recommended Patches -- "Oracle JavaVM Component Database PSU" (OJVM PSU) Patches (ドキュメントID 1929745.1)
https://support.oracle.com/rs?type=doc&id=1929745.1

Mitigation PatchはOJVMパッチのダウンタイムを避ける有効な方法でしょうか?

それはあなた次第ですね。ですが、OJVM Mitigation Patchが初耳ということであれば、再度、Oracle Recommended Patches -- "Oracle JavaVM Component Database PSU" (OJVM PSU) Patches (ドキュメントID 1929745.1)というMy Oracle Supportのサポート・ドキュメントをご覧ください。
For situations where the latest OJVM PSU cannot be installed immediately there is a "Mitigation Patch" that can be used. The "Mitigation Patch" is an interim solution to protect against all currently known (Jul 2015) Oracle JavaVM security vulnerabilities in the database until such time as the OJVM PSU can be installed. It can also be used to protect database versions no longer covered by error correction support.
The "Mitigation Patch":
  • is applicable only to database homes, not client nor Grid homes
  • is only applicable to databases that have JavaVM installed
  • has no dependency on the DB PSU (or equivalent) level
  • can be installed in a RAC Rolling manner
  • is a SQL only patch that needs to be installed and activated in each database
    • hence it can be installed standby first but it requires SQL steps to be executed to be effective, which cannot be done on a read only standby
  • affects use of Java and Java development in the database
  • has been reviewed for January 2015, April 2015, July 2015, October 2015, January 2016, April 2016 and July 2016 and provides mitigation against all currently known OJVM vulnerabilities
  • can be downloaded here: Patch:19721304
最新 OJVM PSU が即時に適用できない場合、"Mitigation Patch" を使用することができます。"Mitigation Patch" は OJVM PSU をインストールすることができるまでの間の、既知の Oracle JavaVM に対するセキュリティ脆弱性に対する一時的な解決策となります。すでに error correction support にてカバーされないバージョンのデータベースに対しても使用することが可能です。
"Mitigation Patch" は
  • データベースの ORACLE_HOME にのみ適用可能です。クライアントや Grid Home には適用できません。
  • JavaVM がインストールされているデータベースのみ適用可能です。
  • DB PSU (または PSU 相当のパッチ)  との依存性はありません。
  • RAC ローリング適用が可能です。
  • 各データベースでインストール、有効化する必要がある SQL のみのパッチです。
    • このため、スタンバイデータベースに先にインストールは可能ですが、有効化するには SQL を実行する手順が必要であり、READ ONLY のスタンバイデータベースでは先に有効にすることはできません。
  • データベース内の Java および Java development に影響があります。
  • January 2015 および April 2015 および July 2015および October 2015 および January 2016  に対して再調査され、現時点で既知のすべての OJVM 脆弱性に対する緩和策となります。
  • Patch:19721304からダウンロード可能です。
皆さんの疑問にお答え仕切れていないことは重々承知していますが、是非ためらわずにOracle SupportでService Requestを発行してください。

0 件のコメント:

コメントを投稿