Oracle Critical Patch Update Juli 2021 – der Statistik-Post
Heute ist der quartalsmäßige Patch-Tag bei Oracle. Jedes Quartal, „an dem Dienstag, der dem 17. des Monats (Januar, April, Juli bzw. Oktober) am nächsten liegt, veröffentlicht Oracle Patches für sein Produktportfolio. Dieses Mal sind es insgesamt 342 Patches für 126 Produkte.
Dieses Mal ist es aber gefühlt für die Datenbank mehr ein „Patch-Ankündigungstag“ als ein Patch-Tag. Die Liste der „Post-Release-Patches“ im „Critical Patch Advisory„, d.h. der Patches nicht am Patch-Tag, sondern erst später veröffentlicht werden, wird (in jedem Fall gefühlt) immer länger. Nur die Release-Updates für die Datenbank-Version 12.2 können aktuell heruntergeladen werden. Die Patches für die Linux-Versionen der Datenbank-Software 19c, die in der Vergangenheit immer zum angekündigten Patch-Termin verfügbar waren, sollen erst am 23. Juli verfügbar sein. Für die anderen Plattformen sollen die 19c-Patches am 7. August erscheinen. Kunden, die noch Oracle 12.1.0.2 einsetzen, müssen sogar bis Ende September warten. Aber das sind aller Wahrscheinlichkeit nach nur sehr wenige.
Einerseits ist es nachvollziehbar, dass es solche Verzögerungen geben kann. Software-Patching ist kein „just-in-time“-Geschäft. Andererseits sind solche Verzögerungen für die Kunden aus mehrfacher Sicht ärgerlich:
- Oracle propagiert die Version 19c als Long-Term-Support release und empfiehlt den Upgrade auf 19c. Wenn aber 19c das aktuell empfohlene Release für Produktionssysteme ist, dann sollten aber auch die entsprechenden Patches zu den angekündigten Terminen zur Verfügung stehen.
- Viele Kunden, vor allen die größeren, haben entsprechende Patch-Prozesse:
- Installation im Lab, danach Test über X Wochen
- Installation in der Entwicklung-, Test- und Abnahmeumgebung in einem abgestimmten Zeit- und Testplan
- Installation in der Produktion, an einem Termin, der oftmals schon langfristig geplant und angekündigt sind
Wenn dann schon der erste Termin platzt, dann wird der ganze Fahrplan Makulatur.
Aber jetzt zu den Statistiken:
Patches pro Critical Patch Update (CPU) (alle Produkte)
Da in jedem CPU aber eine unterschiedliche Anzahl von Produkten betroffen ist (und da die Oracle-Produktpalette tendenziell wächst), ist die durchschnittliches Anzahl von Patches pro betroffenen Produkt evtl. interessanter:
Mittelwert Anzahl Patches pro Produkt
Dieser Mittelwert pendelt seit etwas mehr als 4 Jahren um den Wert 3.
Wie entwickelt sich die Anzahl der Patches für die Datenbank?
Anzahl Datenbank-Patches pro CPU
Seit 2019 zeigt diese Kurve tendenziell nach oben.
Interessant sind auch die CVSS-Scores:
Maximaler CVSS-Score der Datenbank-Patches pro CPU
Hier sind die Werte also seit 2019 etwas zurückgegangen, der maximale CVSS-Score liegt seitdem etwa bei 8
Mittlerer CVSS-Score der Datenbank-Patches pro CPU
Hier zeigt sich keine klare Tendenz und natürlich können solche Mittelwerte auch den Eindruck verfälschen: viele Patches mit niedrigem CVSS-Score sorgen natürlich dafür, dass wenige, aber hochkritische Fehler, nicht so stark ins Gewicht fallen, so dass es alles nicht so kritisch erscheint.
Wie bei jedem dieser “Statistik-Posts” seit Januar 2018, gilt: Statistiken vereinfachen und können verfälschen. Kritisch betrachtet sind diese Statistiken natürlich nutzlos. Die reinen Zahlen sagen nichts über die Kritikalität der Fehler aus; eine einzelne Sicherheitslücke, die einen Datenbank-Zugang remote ohne Password ermöglicht ist sicher deutlich schwerwiegender als eine Lücke, die nur unter bestimmten Bedingungen für wenige Betriebssysteme existiert und die z.B. durch eine Parameter-Änderung behoben werden kann.
Insofern gelten natürlich auch für die hier veröffentlichten Grafiken und Statistiken die (nicht immer 100% ernst gemeinten) Grundsätze
- „Traue keiner Statistik, die du nicht selbst gefälscht hast“
- „Es gibt Lügen, Fälschungen und Statistik“
- „Man kann mit Statistiken alles beweisen – und auch das genaue Gegenteil“
Gesamtübersicht Oracle-Critical-Patch-Updates (seit 2015)
Quartal | #Patches | #Produkte | %Differenz zum vorhergehenden Patch | Mittelwert Patches pro Produkt | #DB-Patches | Mittelwert CVSS Score (DB Patches) | Maximum CVSS Score (DB Patches) |
2015-01 | 169 | 50 | 10 | 3.4 | 8 | 6.5 | 9 |
2015-04 | 96 | 43 | -43 | 2.2 | 4 | 6 | 9 |
2015-07 | 193 | 63 | 101 | 3.1 | 10 | 5.1 | 9 |
2015-10 | 153 | 56 | -21 | 2.7 | 7 | 7.7 | 10 |
2016-01 | 248 | 51 | 62 | 4.9 | 7 | 5.3 | 9 |
2016-04 | 136 | 49 | -45 | 2.8 | 5 | 5.7 | 9 |
2016-07 | 276 | 84 | 103 | 3.3 | 9 | 6.3 | 9 |
2016-10 | 253 | 76 | -8 | 3.3 | 9 | 5.4 | 9.1 |
2017-01 | 270 | 45 | 7 | 6 | 2 | 6.2 | 9 |
2017-04 | 300 | 121 | 11 | 2.5 | 2 | 6.3 | 7.2 |
2017-07 | 308 | 97 | 3 | 3.2 | 4 | 6.4 | 9.9 |
2017-10 | 252 | 88 | -18 | 2.9 | 6 | 7 | 8.8 |
2018-01 | 233 | 97 | -8 | 2.4 | 5 | 6.7 | 9.1 |
2018-04 | 254 | 115 | 9 | 2.2 | 1 | 8.5 | 8.5 |
2018-07 | 334 | 121 | 31 | 2.8 | 3 | 7.8 | 9.8 |
2018-10 | 301 | 101 | -10 | 3 | 3 | 6.8 | 9.8 |
2019-01 | 284 | 94 | -6 | 3 | 3 | 6.3 | 8.2 |
2019-04 | 297 | 110 | 5 | 2.7 | 6 | 7.5 | 9.1 |
2019-07 | 322 | 121 | 8 | 2.7 | 8 | 6.2 | 9.8 |
2019-10 | 219 | 72 | -32 | 3.1 | 10 | 4.6 | 6.8 |
2020-01 | 334 | 93 | 53 | 3.6 | 12 | 5.2 | 7.7 |
2020-04 | 397 | 116 | 19 | 3.4 | 8 | 6.2 | 8 |
2020-07 | 443 | 136 | 12 | 3.3 | 19 | 4.6 | 8.8 |
2020-10 | 420 | 137 | -5 | 3.1 | 18 | 8 | 8.8 |
2021-01 | 329 | 113 | -28 | 2.9 | 8 | 5.7 | 8.8 |
2021-04 | 390 | 124 | 19 | 3.2 | 10 | 4.9 | 7.5 |
2021-07 | 326 | 126 | -16 | 2.6 | 16 | 5.1 | 8.3 |
Links/Referenzen/weitere Informationen:
- Oracle Critical Patch Advisory Juli 2021
- MOS-Note „Critical Patch Update (CPU) Program Jul 2021 Patch Availability Document (PAD) (Doc ID 2773670.1)„
Amazon Partner-Link: