Oracle Critical Patch Updates – etwas Statistik – das Oktober-Update
Seit Januar 2018 veröffentliche in meinem Blog einige Statistiken und Grafiken zu den Critical Patch Updates von Oracle. Vor etwas mehr als einer Woche hat Oracle die Oktober-Patches veröffentlicht und so ist es wieder Zeit für ein Update.
Kritisch betrachtet sind diese Statistiken natürlich nutzlos. Die reinen Zahlen sagen nichts über die Kritikalität der Fehler aus; eine einzelne Sicherheitslücke, die einen Datenbank-Zugang remote ohne Password ermöglicht ist sicher deutlich schwerwiegender als eine Lücke, die nur unter bestimmten Bedingungen für wenige Betriebssysteme existiert und die z.B. durch eine Parameter-Änderung behoben werden kann.
Insofern gelten natürlich auch für die folgenden Grafiken und Statistiken die (nicht immer 100% ernst gemeinten) Grundsätze
- „Traue keiner Statistik, die du nicht selbst gefälscht hast“
- „Es gibt Lügen, Fälschungen und Statistik“
- „Man kann mit Statistiken alles beweisen – und auch das genaue Gegenteil“
Wieviele Patches enthält das große „CPU-Paket“ insgesamt?
Mit 301 Fehlerbehebungen ist die Gesamtzahl der Patches pro Critical Patch Update (CPU) damit zum vierten Mal über der 300-er Grenze.
Der erste statistische „Trick“ ist es dann, die nicht Gesamtzahl der Patches zu betrachten, sondern die Zahl pro betroffenem Produkt:
Da liegt Oracle seit etwas mehr als einem Jahr bei etwa 3 Patches pro Produkt.
Sowohl quantitativ als auch qualitativ liegt die Datenbank im Vergleich mit den anderen Produkten im gleichen Bereich:
Anzahl DB-Patches vs. Mittel über alle Produkte
Der Oktober-CPU ist der letzte CPU des Jahres und so kann man vermelden, dass die Anzahl der Security-Patches für die Datenbank in den letzten Jahren gesunken ist:
Aber, das sind ja nur die reinen Zahlen. Wenn man die „Qualität“betrachtet (im Sinne von CVSS-Score), dann zeigt es sich, dass fast immer ein Bug mit einem Score von 9 oder höher dabei war:
Globale Entwarnung ist somit nicht angesagt, genauso wenig aber auch Aktionismus in der Form, einen CPU unmittelbar nach Freigabe auf Produktionssystemen einzuspielen. Die übliche Empfehlung ist, Release Updates zügig nach Erscheinen einzuspielen
Gesamtübersicht Oracle Critical Patch Updates (seit 2010)
Quelle: https://www.oracle.com/technetwork/topics/security/alerts-086861.html
Jahr | #Security Patches | Veränderung zum Vorquartal | #Produkte | #Patches/ #Produkte | Security Patches für DB | DB – max CVSS score | DB – avg CVSS score |
2010.01 | 24 | bis 7/2014 wurden die Produkte in der Patchübersicht anders aufgeführt, daher sind frühere Auflistungen nicht mit den aktuellen Auflistungen vergleichbar | 9 | ||||
2010.04 | 47 | 96% | 7 | ||||
2010.07 | 59 | 26% | 6 | ||||
2010.10 | 86 | 46% | 7 | ||||
2011.01 | 66 | -23% | 5 | ||||
2011.04 | 73 | 11% | 6 | ||||
2011.07 | 78 | 7% | 13 | ||||
2011.10 | 57 | -27% | 5 | ||||
2012.01 | 78 | 37% | 2 | ||||
2012.04 | 88 | 13% | 6 | ||||
2012.07 | 87 | -1% | 4 | ||||
2012.10 | 109 | 25% | 5 | ||||
2013.01 | 86 | -21% | 1 | ||||
2013.04 | 128 | 49% | 4 | ||||
2013.07 | 89 | -30% | 6 | ||||
2013.10 | 127 | 43% | 2 | ||||
2014.01 | 144 | 13% | 5 | 5,0 | 4,1 | ||
2014.04 | 104 | -28% | 2 | 8,5 | 7,6 | ||
2014.07 | 113 | 9% | 5 | 9,0 | 6,1 | ||
2014.10 | 154 | 36% | 45 | 3,4 | 31 | 9,0 | 5,2 |
2015.01 | 169 | 10% | 50 | 3,4 | 8 | 9,0 | 6,5 |
2015.04 | 96 | -43% | 43 | 2,2 | 4 | 9,0 | 6,0 |
2015.07 | 193 | 101% | 63 | 3,1 | 10 | 9,0 | 5,1 |
2015.10 | 153 | -21% | 56 | 2,7 | 7 | 10,0 | 7,7 |
2016.01 | 248 | 62% | 51 | 4,9 | 7 | 9,0 | 5,3 |
2016.04 | 136 | -45% | 49 | 2,8 | 5 | 9,0 | 5,7 |
2016.07 | 276 | 103% | 84 | 3,3 | 9 | 9,0 | 6,3 |
2016.10 | 253 | -8% | 76 | 3,3 | 9 | 9,1 | 5,4 |
2017.01 | 270 | 7% | 45 | 6,0 | 2 | 9,0 | 6,2 |
2017.04 | 300 | 11% | 121 | 2,5 | 2 | 7,2 | 6,3 |
2017.07 | 308 | 3% | 97 | 3,2 | 4 | 9,9 | 6,4 |
2017.10 | 252 | -18% | 88 | 2,9 | 6 | 8,8 | 7,0 |
2018.01 | 233 | -8% | 97 | 2,4 | 5 | 9,1 | 6,7 |
2018.04 | 254 | 9% | 115 | 2,2 | 1 | 8,5 | 8,5 |
2018.07 | 334 | 31% | 121 | 2,8 | 3 | 9,8 | 7,8 |
2018.10 | 301 | -10% | 101 | 3,0 | 3 | 9,8 | 6,8 |
Mittelwert | 154,8 | 3,2 | 6,0 | 8,8 | 6,3 |
Links:
- Critical Patch Updates – Update Juli 2018
- Critical Patch Updates – Update April 2018
- Oracle-Patches: CPU, PSU, SPU, DBBP, RU, RUR, …
- Neu bei Oracle: Release Updates