Oracle Critical Patch Updates – etwas Statistik – das Oktober-Update

28. Oktober 2018 Aus Von Markus Flechtner

Seit Januar 2018 veröffentliche in meinem Blog einige Statistiken und Grafiken zu den Critical Patch Updates von Oracle. Vor etwas mehr als einer Woche hat Oracle die Oktober-Patches veröffentlicht und so ist es wieder Zeit für ein Update.

Kritisch betrachtet sind diese Statistiken natürlich nutzlos. Die reinen Zahlen sagen nichts über die Kritikalität der Fehler aus; eine einzelne Sicherheitslücke, die einen Datenbank-Zugang remote ohne Password ermöglicht ist sicher deutlich schwerwiegender als eine Lücke, die nur unter bestimmten Bedingungen für wenige Betriebssysteme existiert und die z.B. durch eine Parameter-Änderung behoben werden kann.

Insofern gelten natürlich auch für die folgenden Grafiken und Statistiken die (nicht immer 100% ernst gemeinten) Grundsätze

  • “Traue keiner Statistik, die du nicht selbst gefälscht hast”
  • “Es gibt Lügen, Fälschungen und Statistik”
  • “Man kann mit Statistiken alles beweisen – und auch das genaue Gegenteil”

Wieviele Patches enthält das große „CPU-Paket“ insgesamt?

Mit 301 Fehlerbehebungen ist die Gesamtzahl der Patches pro Critical Patch Update (CPU) damit zum vierten Mal über der 300-er Grenze.

Der erste statistische “Trick” ist es dann, die nicht Gesamtzahl der Patches zu betrachten, sondern die Zahl pro betroffenem Produkt:

Da liegt Oracle seit etwas mehr als einem Jahr bei etwa 3 Patches pro Produkt.

Sowohl quantitativ als auch qualitativ liegt die Datenbank im Vergleich mit den anderen Produkten im gleichen Bereich:

Anzahl DB-Patches vs. Mittel über alle Produkte

 

Der Oktober-CPU ist der letzte CPU des Jahres und so kann man vermelden, dass die Anzahl der Security-Patches für die Datenbank in den letzten Jahren gesunken ist:

Aber, das sind ja nur die reinen Zahlen. Wenn man die “Qualität”betrachtet (im Sinne von CVSS-Score), dann zeigt es sich, dass fast immer ein Bug mit einem Score von 9 oder höher dabei war:

Globale Entwarnung ist somit nicht angesagt, genauso wenig aber auch Aktionismus in der Form, einen CPU unmittelbar nach Freigabe auf Produktionssystemen einzuspielen. Die übliche Empfehlung ist, Release Updates zügig nach Erscheinen einzuspielen

 

Gesamtübersicht Oracle Critical Patch Updates (seit 2010)

Quelle: https://www.oracle.com/technetwork/topics/security/alerts-086861.html

Jahr #Security Patches Veränderung zum Vorquartal #Produkte #Patches/ #Produkte Security Patches für DB DB – max CVSS score DB – avg CVSS score
2010.01 24 bis 7/2014 wurden die Produkte in der Patchübersicht anders aufgeführt, daher sind frühere Auflistungen nicht mit den aktuellen Auflistungen vergleichbar 9
2010.04 47 96% 7
2010.07 59 26% 6
2010.10 86 46% 7
2011.01 66 -23% 5
2011.04 73 11% 6
2011.07 78 7% 13
2011.10 57 -27% 5
2012.01 78 37% 2
2012.04 88 13% 6
2012.07 87 -1% 4
2012.10 109 25% 5
2013.01 86 -21% 1
2013.04 128 49% 4
2013.07 89 -30% 6
2013.10 127 43% 2
2014.01 144 13% 5 5,0 4,1
2014.04 104 -28% 2 8,5 7,6
2014.07 113 9% 5 9,0 6,1
2014.10 154 36% 45 3,4 31 9,0 5,2
2015.01 169 10% 50 3,4 8 9,0 6,5
2015.04 96 -43% 43 2,2 4 9,0 6,0
2015.07 193 101% 63 3,1 10 9,0 5,1
2015.10 153 -21% 56 2,7 7 10,0 7,7
2016.01 248 62% 51 4,9 7 9,0 5,3
2016.04 136 -45% 49 2,8 5 9,0 5,7
2016.07 276 103% 84 3,3 9 9,0 6,3
2016.10 253 -8% 76 3,3 9 9,1 5,4
2017.01 270 7% 45 6,0 2 9,0 6,2
2017.04 300 11% 121 2,5 2 7,2 6,3
2017.07 308 3% 97 3,2 4 9,9 6,4
2017.10 252 -18% 88 2,9 6 8,8 7,0
2018.01 233 -8% 97 2,4 5 9,1 6,7
2018.04 254 9% 115 2,2 1 8,5 8,5
2018.07 334 31% 121 2,8 3 9,8 7,8
2018.10 301 -10% 101 3,0 3 9,8 6,8
Mittelwert 154,8 3,2 6,0 8,8 6,3

 

Links:

Werbung (Amazon-Partner-Link)