Oracle Critical Patch Update Juli 2021 – der Statistik-Post

20. Juli 2021 Aus Von Markus Flechtner

Heute ist der quartalsmäßige Patch-Tag bei Oracle. Jedes Quartal, „an dem Dienstag, der dem 17. des Monats (Januar, April, Juli bzw. Oktober) am nächsten liegt, veröffentlicht Oracle Patches für sein Produktportfolio. Dieses Mal sind es insgesamt 342 Patches für 126 Produkte.

Dieses Mal ist es aber gefühlt für die Datenbank mehr ein „Patch-Ankündigungstag“ als ein Patch-Tag. Die Liste der „Post-Release-Patches“ im „Critical Patch Advisory„, d.h. der Patches nicht am Patch-Tag, sondern erst später veröffentlicht werden, wird (in jedem Fall gefühlt) immer länger.  Nur die Release-Updates für die Datenbank-Version 12.2 können aktuell heruntergeladen werden. Die Patches für die Linux-Versionen der Datenbank-Software 19c, die in der Vergangenheit immer zum angekündigten Patch-Termin verfügbar waren, sollen erst am 23. Juli verfügbar sein. Für die anderen Plattformen sollen die 19c-Patches am 7. August erscheinen. Kunden, die noch Oracle 12.1.0.2 einsetzen, müssen sogar bis Ende September warten. Aber das sind aller Wahrscheinlichkeit nach nur sehr wenige.

Einerseits ist es nachvollziehbar, dass es solche Verzögerungen geben kann. Software-Patching ist kein „just-in-time“-Geschäft. Andererseits sind solche Verzögerungen für die Kunden aus mehrfacher Sicht ärgerlich:

  1. Oracle propagiert die Version 19c als Long-Term-Support release und empfiehlt den Upgrade auf 19c. Wenn aber 19c das aktuell empfohlene Release für Produktionssysteme ist, dann sollten aber auch die entsprechenden Patches zu den angekündigten Terminen zur Verfügung stehen.
  2. Viele Kunden, vor allen die größeren, haben entsprechende Patch-Prozesse:
    1. Installation im Lab, danach Test über X Wochen
    2. Installation in der Entwicklung-, Test- und Abnahmeumgebung in einem abgestimmten Zeit- und Testplan
    3. Installation in der Produktion, an einem Termin, der oftmals schon langfristig geplant und angekündigt sind

Wenn dann schon der erste Termin platzt, dann wird der ganze Fahrplan Makulatur.

 

Aber jetzt zu den Statistiken:

Patches pro Critical Patch Update (CPU) (alle Produkte)

Da in jedem CPU aber eine unterschiedliche Anzahl von Produkten betroffen ist (und da die Oracle-Produktpalette tendenziell wächst), ist die durchschnittliches Anzahl von Patches pro betroffenen Produkt evtl. interessanter:

 

Mittelwert Anzahl Patches pro Produkt

Dieser Mittelwert pendelt seit etwas mehr als 4 Jahren um den Wert 3.

 

Wie entwickelt sich die Anzahl der Patches für die Datenbank?

Anzahl Datenbank-Patches pro CPU

Seit 2019 zeigt diese Kurve tendenziell nach oben.

Interessant sind auch die CVSS-Scores:

Maximaler CVSS-Score der Datenbank-Patches pro CPU

Hier sind die Werte also seit 2019 etwas zurückgegangen, der maximale CVSS-Score liegt seitdem etwa bei 8

Mittlerer CVSS-Score der Datenbank-Patches pro CPU

Hier zeigt sich keine klare Tendenz und natürlich können solche Mittelwerte auch den Eindruck verfälschen: viele Patches mit niedrigem CVSS-Score sorgen natürlich dafür, dass wenige, aber hochkritische Fehler, nicht so stark ins Gewicht fallen, so dass es alles nicht so kritisch erscheint.

Wie bei jedem dieser “Statistik-Posts” seit Januar 2018, gilt: Statistiken vereinfachen und können verfälschen.  Kritisch betrachtet sind diese Statistiken natürlich nutzlos. Die reinen Zahlen sagen nichts über die Kritikalität der Fehler aus; eine einzelne Sicherheitslücke, die einen Datenbank-Zugang remote ohne Password ermöglicht ist sicher deutlich schwerwiegender als eine Lücke, die nur unter bestimmten Bedingungen für wenige Betriebssysteme existiert und die z.B. durch eine Parameter-Änderung behoben werden kann.

Insofern gelten natürlich auch für die hier veröffentlichten Grafiken und Statistiken die (nicht immer 100% ernst gemeinten) Grundsätze

  • „Traue keiner Statistik, die du nicht selbst gefälscht hast“
  • „Es gibt Lügen, Fälschungen und Statistik“
  • „Man kann mit Statistiken alles beweisen – und auch das genaue Gegenteil“

 

Gesamtübersicht Oracle-Critical-Patch-Updates (seit 2015)

Quartal #Patches #Produkte %Differenz zum vorhergehenden Patch Mittelwert Patches pro Produkt #DB-Patches Mittelwert CVSS Score (DB Patches) Maximum CVSS Score (DB Patches)
2015-01 169 50 10 3.4 8 6.5 9
2015-04 96 43 -43 2.2 4 6 9
2015-07 193 63 101 3.1 10 5.1 9
2015-10 153 56 -21 2.7 7 7.7 10
2016-01 248 51 62 4.9 7 5.3 9
2016-04 136 49 -45 2.8 5 5.7 9
2016-07 276 84 103 3.3 9 6.3 9
2016-10 253 76 -8 3.3 9 5.4 9.1
2017-01 270 45 7 6 2 6.2 9
2017-04 300 121 11 2.5 2 6.3 7.2
2017-07 308 97 3 3.2 4 6.4 9.9
2017-10 252 88 -18 2.9 6 7 8.8
2018-01 233 97 -8 2.4 5 6.7 9.1
2018-04 254 115 9 2.2 1 8.5 8.5
2018-07 334 121 31 2.8 3 7.8 9.8
2018-10 301 101 -10 3 3 6.8 9.8
2019-01 284 94 -6 3 3 6.3 8.2
2019-04 297 110 5 2.7 6 7.5 9.1
2019-07 322 121 8 2.7 8 6.2 9.8
2019-10 219 72 -32 3.1 10 4.6 6.8
2020-01 334 93 53 3.6 12 5.2 7.7
2020-04 397 116 19 3.4 8 6.2 8
2020-07 443 136 12 3.3 19 4.6 8.8
2020-10 420 137 -5 3.1 18 8 8.8
2021-01 329 113 -28 2.9 8 5.7 8.8
2021-04 390 124 19 3.2 10 4.9 7.5
2021-07 326 126 -16 2.6 16 5.1 8.3

 

Links/Referenzen/weitere Informationen:

 

Amazon Partner-Link: