Oracle Critical Patch Updates – etwas Statistik – das Juli-Update

18. Juli 2018 Aus Von Markus Flechtner

Seit Januar 2018 veröffentliche in meinem Blog einige Statistiken und Grafiken zu den Critical Patch Updates von Oracle. Gestern hat Oracle die Juli-Patches veröffentlicht und so ist es Zeit für das Juli-Update

Kritisch betrachtet sind diese Statistiken natürlich nutzlos. Die reinen Zahlen sagen nichts über die Kritikalität der Fehler aus; eine einzelne Sicherheitslücke, die einen Datenbank-Zugang remote ohne Password ermöglicht ist sicher deutlich schwerwiegender als eine Lücke, die nur unter bestimmten Bedingungen für wenige Betriebssysteme existiert und die z.B. durch eine Parameter-Änderung behoben werden kann.

Wieviele Patches enthält das große „CPU-Paket“ insgesamt?

Nachdem vor einem Jahr erstmals die magische 300er-Grenze überschritten wurde, wurde jetzt mit 334 Patches ein neues „All-Time-High“ erzielt.

Natürlich ist das eine sehr hohe Anzahl von  Patches, aber die Patches verteilen sich insgesamt auf 121 Produkte. Das senkt das arithmetische Mittel „Anzahl Patches pro betroffenem Produkt“:

Es sind also – im Mittel – etwa 3 Patches pro betroffenem Produkt. Die Datenbank liegt da beim CPU Juli 2018 gut im Rennen, denn lt. Oracle werden dieses Mal nur 3 Security-Lücken in der Datenbank behoben:

Allerdings sollte man sich jetzt nicht zu sehr über die geringe Anzahl von Datenbank-Fixes freuen, denn die CVSS-Scores für die Datenbank-Patches bleiben konstant auf recht hohem Niveau:

Gesamtübersicht über die Critical Patch-Updates seit 2010

Jahr #Security Patches Veränderung zum Vorquartal #Produkte #Patches/ #Produkte Security Patches für DB DB – max CVSS score DB – avg CVSS score
2010.01 24   bis 7/2014 wurden die Produkte in der Patchübersicht anders aufgeführt, daher sind frühere Auflistungen nicht mit den aktuellen Auflistungen vergleichbar 9  
2010.04 47 96% 7
2010.07 59 26% 6
2010.10 86 46% 7
2011.01 66 -23% 5
2011.04 73 11% 6
2011.07 78 7% 13
2011.10 57 -27% 5
2012.01 78 37% 2
2012.04 88 13% 6
2012.07 87 -1% 4
2012.10 109 25% 5
2013.01 86 -21% 1
2013.04 128 49% 4
2013.07 89 -30% 6
2013.10 127 43% 2
2014.01 144 13% 5 5,0 4,1
2014.04 104 -28% 2 8,5 7,6
2014.07 113 9% 5 9,0 6,1
2014.10 154 36% 45 3,4 31 9,0 5,2
2015.01 169 10% 50 3,4 8 9,0 6,5
2015.04 96 -43% 43 2,2 4 9,0 6,0
2015.07 193 101% 63 3,1 10 9,0 5,1
2015.10 153 -21% 56 2,7 7 10,0 7,7
2016.01 248 62% 51 4,9 7 9,0 5,3
2016.04 136 -45% 49 2,8 5 9,0 5,7
2016.07 276 103% 84 3,3 9 9,0 6,3
2016.10 253 -8% 76 3,3 9 9,1 5,4
2017.01 270 7% 45 6,0 2 9,0 6,2
2017.04 300 11% 121 2,5 2 7,2 6,3
2017.07 308 3% 97 3,2 4 9,9 6,4
2017.10 252 -18% 88 2,9 6 8,8 7,0
2018.01 233 -8% 97 2,4 5 9,1 6,7
2018.04 254 9% 115 2,2 1 8,5 8,5
2018.07 334 31% 121 2,8 3 9,8 7,8
Mittelwert 150,6     3,2 6,1 8,8 6,3

Quelle: https://www.oracle.com/technetwork/topics/security/alerts-086861.html

English translation of this post

Werbung (Amazon-Partner-Link)