pat98's always & forever

보안취약점 CVE 권고로 인한 $ORACLE_HOME/jdk 업그레이드 작업 테스트

테스트 방법처럼 개별적으로 $ORACLE_HOME/jdk 버전을 upgrade 하는 것 보다는 RU 패치 적용을 권고한다고 한다.

테스트를 위해 JDK 를 1.8.0_421 -> 1.8.0_431 로 upgrade 테스트

참고 문서

- JDK and PERL Patches for Oracle Database Home and Grid Home (Doc ID 2584628.1)

  해당 문서에 각 RU버전 별 JDK 패치 화일 제공하고 있다.

[ORCL]oracle@ora19c:/oracle/app/oracle/product/19.0.0/jdk/bin# ./java -version
java version "1.8.0_421"
Java(TM) SE Runtime Environment (build 1.8.0_421-b09)
Java HotSpot(TM) 64-Bit Server VM (build 25.421-b09, mixed mode)

- 적용작업

MOS에서 upgrade 하고자 하는 대상 버전을 download 받고 압축해제후, 일반 Interim patch 처럼 바로 적용.

[ORCL]oracle@ora19c:/oracle/patch# unzip -qq p36866578_190000_Linux-x86-64.zip 

[ORCL]oracle@ora19c:/oracle/patch# cd 3636866578

[ORCL]oracle@ora19c:/oracle/patch/36866578# opatch apply .
Oracle Interim Patch Installer version 12.2.0.1.46
Copyright (c) 2025, Oracle Corporation.  All rights reserved.


Oracle Home       : /oracle/app/oracle/product/19.0.0
Central Inventory : /oracle/app/oraInventory
   from           : /oracle/app/oracle/product/19.0.0/oraInst.loc
OPatch version    : 12.2.0.1.46
OUI version       : 12.2.0.7.0
Log file location : /oracle/app/oracle/product/19.0.0/cfgtoollogs/opatch/opatch2025-09-11_11-06-27AM_1.log

Verifying environment and performing prerequisite checks...
OPatch continues with these patches:   36866578  

Do you want to proceed? [y|n]
y
User Responded with: Y
All checks passed.
Backing up files...
Applying interim patch '36866578' to OH '/oracle/app/oracle/product/19.0.0'
ApplySession: Optional component(s) [ oracle.jdk, 1.8.0.191.0 ] , [ oracle.jdk, 1.8.0.391.11 ]  not present in the Oracle Home or a higher version is found.

Patching component oracle.jdk, 1.8.0.201.0...
Patch 36866578 successfully applied.
Log file location: /oracle/app/oracle/product/19.0.0/cfgtoollogs/opatch/opatch2025-09-11_11-06-27AM_1.log

OPatch succeeded.

[ORCL]oracle@ora19c:/oracle/app/oracle/product/19.0.0/jdk/bin# ./java -version
java version "1.8.0_431"
Java(TM) SE Runtime Environment (build 1.8.0_431-b10)
Java HotSpot(TM) 64-Bit Server VM (build 25.431-b10, mixed mode)

[ORCL]oracle@ora19c:/oracle/app/oracle/product/19.0.0/jdk/bin# opatch lspatches
36866578;JDK BUNDLE PATCH 19.0.0.0.241015
36912597;Database Release Update : 19.25.0.0.241015 (36912597)
29585399;OCW RELEASE UPDATE 19.3.0.0.0 (29585399)

OPatch succeeded.

- 원복작업

[ORCL]oracle@ora19c:/home/oracle# opatch rollback -id 36866578
Oracle Interim Patch Installer version 12.2.0.1.46
Copyright (c) 2025, Oracle Corporation.  All rights reserved.


Oracle Home       : /oracle/app/oracle/product/19.0.0
Central Inventory : /oracle/app/oraInventory
   from           : /oracle/app/oracle/product/19.0.0/oraInst.loc
OPatch version    : 12.2.0.1.46
OUI version       : 12.2.0.7.0
Log file location : /oracle/app/oracle/product/19.0.0/cfgtoollogs/opatch/opatch2025-09-11_11-09-58AM_1.log


Patches will be rolled back in the following order: 
   36866578
The following patch(es) will be rolled back: 36866578  

Rolling back patch 36866578...

RollbackSession rolling back interim patch '36866578' from OH '/oracle/app/oracle/product/19.0.0'

Patching component oracle.jdk, 1.8.0.201.0...
RollbackSession removing interim patch '36866578' from inventory
Log file location: /oracle/app/oracle/product/19.0.0/cfgtoollogs/opatch/opatch2025-09-11_11-09-58AM_1.log

OPatch succeeded.
[ORCL]oracle@ora19c:/home/oracle# opatch lspatches
36912597;Database Release Update : 19.25.0.0.241015 (36912597)
29585399;OCW RELEASE UPDATE 19.3.0.0.0 (29585399)

OPatch succeeded.

[ORCL]oracle@ora19c:/oracle/app/oracle/product/19.0.0/jdk/bin# ./java -version
java version "1.8.0_421"
Java(TM) SE Runtime Environment (build 1.8.0_421-b09)
Java HotSpot(TM) 64-Bit Server VM (build 25.421-b09, mixed mode)

ORA-39405: Oracle Data Pump does not support importing from a source database with...

보통 Source 의 Timezone 화일이 높은버전(35)을 Target 의 낮은 Timezone 화일(34)로 import 시도할시 아래와 같은 에러가 났었음...

제일 손쉬운 방법은 Target 의 timezone 을 upgrade 하면 됨. (하지만 사이트 환경상 그렇지 작업하지 못하는 경우가 생김)
-> 개발을 낮은 RU 로 사용하다가 운영은 몇개월후 RU를 더 높은 것으로 셋팅하고 그대로 사용했을 경우 등등)

19.27 부터 datapump import 하는 동안 time zone file version 을 check 하지 않는 기능이 포함되었다고 한다. 

-Bug 37041429 - Allow Data Pump to Import Into a Destination With a Lower Timezone File Version Than the Source (Doc ID 37041429.8)

또는 

alter system set "_datapump_bypass_tstz_check"=true;

그러나 실제 확인해 보면 아직 19c에서 아직 새로운 enhancement가 19c에서 완전히 적용되지 않은것으로 보인다.

23ai 와 19c에서 각각 확인해 봄.

Connected to:
Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
Version 23.7.0.25.01

SET LINES 120
COL KSPPINM for A40
COL KSPPSTVL FOR A30
select ksppinm, ksppstvl
from   x$ksppi x, x$ksppcv y
where  (x.indx = y.indx)
and    (translate(ksppinm,'_','#') like '%&1%');
Enter value for 1: _datapump_bypass
old   4: and    (translate(ksppinm,'_','#') like '%&1%')
new   4: and    (translate(ksppinm,'_','#') like '%_datapump_bypass%')

KSPPINM                                  KSPPSTVL
---------------------------------------- ------------------------------
_datapump_bypass_tstz_check              FALSE

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.27.0.0.0

SET LINES 120
COL KSPPINM for A40
COL KSPPSTVL FOR A30
select ksppinm, ksppstvl
from   x$ksppi x, x$ksppcv y
where  (x.indx = y.indx)
and    (translate(ksppinm,'_','#') like '%&1%');
Enter value for 1: _datapump_bypass
old   4: and    (translate(ksppinm,'_','#') like '%&1%')
new   4: and    (translate(ksppinm,'_','#') like '%_datapump_bypass%')

no rows selected

-> 21c 와 23ai 에서는 사용가능 / 19c 는 곧 기능추가 예정 ------->  일부 문서에 19.27 부터 된다고 했지만 아직 기능구현이 되지 않은것으로 의심된다.

단 이 방법은 data에 timezone 화일이 있을 경우 corrupt 될수 있기 때문에 신중히 사용해야 함.