Oracle Critical Patch-Updates: Statistiken für das Jahr 2023 [Update Oktober 2023]

23. Oktober 2023 Aus Von Markus Flechtner

Der im Oktober veröffentlichte Critical Patch Update umfasst 387 Patches und liegt damit deutlich unter den 508 Patches, die im CPU im Juli freigegeben wurden. Für die Datenbank sind nur 10 Patches dabei, das sind allerdings doppelt soviele wie vor drei Monaten. Der maximale CVSS-Score bei den Datenbank-Patches beträgt 6,5.

Allerdings gilt wie immer bei diesen Auswertungen der bekannte Spruch: “es gibt Lügen, Fälschungen und Statistiken”. Die nackten Zahlen sagen nichts über das Risiko aus, es gibt Lücken, die ohne Authentifizierung via Netzwerk ausgenutzt werden können und andererseits gibt es Lücken, die nur bestimmte Komponenten oder Optionen betreffen und die somit nicht in allen Fällen relevant sind.

Über das gesamte Jahr 2023 betrachtet waren es 29 Datenbank-Patches und damit etwas mehr als im letzten Jahr (26).

Gesamtzahl der Patches pro CPU (über alle Produkte)

Gesamtzahl Patches per CPU (über alle Produkte)

Mittlere Anzahl von Patches pro betroffenem Produkt

Dieser Wert pendelt seit mehreren Jahren um drei Patches pro Produkt.

Anzahl Datenbank-Patches pro CPU

Wobei natürlich für die Datenbank-Patches wie auch für alle anderen Patches bzw. Bugs gilt: nicht alle Patches sind für alle Konfigurationen oder Plattformen relevant. Aber natürlich ist jeder Bug ein Risiko.

Gesamtzahl DB-Patches pro Jahr

Die Anzahl der Datenbankpatches (29) liegt etwas auf dem Niveau des Vorjahres (26) und deutlich unter den Jahren 2020 und 2021

Zum Abschluss noch ein Blick auf die CVSS-Scores im Bereich “Datenbanken”:

Maximale CVSS-Scores

Maximaler CVSS-Score der DB-Patches

Mittelwert der CVSS-Scores (Datenbank)

Entwicklung der Oracle Critical Patch-Updates

CPU Übersicht

Quarter#Patches#affected Products%Difference to previous QuarterAverage Number of Patches per Product#Database PatchesAverage CVSS Score (DB Patches)Maximum CVSS Score (DB Patches)
2015-0116950103.486.59
2015-049643-432.2469
2015-07193631013.1105.19
2015-1015356-212.777.710
2016-0124851624.975.39
2016-0413649-452.855.79
2016-07276841033.396.39
2016-1025376-83.395.49.1
2017-01270457626.29
2017-04300121112.526.37.2
2017-073089733.246.49.9
2017-1025288-182.9678.8
2018-0123397-82.456.79.1
2018-0425411592.218.58.5
2018-07334121312.837.89.8
2018-10301101-10336.89.8
2019-0128494-6336.38.2
2019-0429711052.767.59.1
2019-0732212182.786.29.8
2019-1021972-323.1104.66.8
2020-0133493533.6125.27.7
2020-04397116193.486.28
2020-07443136123.3194.68.8
2020-10420137-53.11888.8
2021-01329113-282.985.78.8
2021-04390124193.2104.97.5
2021-07326126-162.6165.18.3
2021-10419133293.295.68.2
2022-01497165193445.4
2022-0452017449355.57.2
2022-07349138-302.596.19.1
2022-10370126-292.986.17.2
2023-01327101-93.295.67.5
2023-04433142+323.156.26.8
2023-07508132+173.954.76.5
2023-10387122-243.2104.66.5

Abschließend noch ein Tipp zur Installation der Critical-Patch-Updates bei Oracle 19c Datenbanken: Wenn man die Datenbank im Upgrade-Modus startet, dann kommt es beim datapatch zu einem Fehler: also die Datenbank vor dem Start von “datapatch” im normalen Modus starten.

Links: