Oracle Critical Patch Updates – etwas Statistik – das Juli-Update

Seit Januar 2018 veröffentliche in meinem Blog einige Statistiken und Grafiken zu den Critical Patch Updates von Oracle. Gestern hat Oracle die Juli-Patches veröffentlicht und so ist es Zeit für das Juli-Update

Kritisch betrachtet sind diese Statistiken natürlich nutzlos. Die reinen Zahlen sagen nichts über die Kritikalität der Fehler aus; eine einzelne Sicherheitslücke, die einen Datenbank-Zugang remote ohne Password ermöglicht ist sicher deutlich schwerwiegender als eine Lücke, die nur unter bestimmten Bedingungen für wenige Betriebssysteme existiert und die z.B. durch eine Parameter-Änderung behoben werden kann.

Wieviele Patches enthält das große „CPU-Paket“ insgesamt?

Nachdem vor einem Jahr erstmals die magische 300er-Grenze überschritten wurde, wurde jetzt mit 334 Patches ein neues „All-Time-High“ erzielt.

Natürlich ist das eine sehr hohe Anzahl von  Patches, aber die Patches verteilen sich insgesamt auf 121 Produkte. Das senkt das arithmetische Mittel „Anzahl Patches pro betroffenem Produkt“:

Es sind also – im Mittel – etwa 3 Patches pro betroffenem Produkt. Die Datenbank liegt da beim CPU Juli 2018 gut im Rennen, denn lt. Oracle werden dieses Mal nur 3 Security-Lücken in der Datenbank behoben:

Allerdings sollte man sich jetzt nicht zu sehr über die geringe Anzahl von Datenbank-Fixes freuen, denn die CVSS-Scores für die Datenbank-Patches bleiben konstant auf recht hohem Niveau:

Gesamtübersicht über die Critical Patch-Updates seit 2010

Jahr #Security Patches Veränderung zum Vorquartal #Produkte #Patches/ #Produkte Security Patches für DB DB – max CVSS score DB – avg CVSS score
2010.01 24 bis 7/2014 wurden die Produkte in der Patchübersicht anders aufgeführt, daher sind frühere Auflistungen nicht mit den aktuellen Auflistungen vergleichbar 9
2010.04 47 96% 7
2010.07 59 26% 6
2010.10 86 46% 7
2011.01 66 -23% 5
2011.04 73 11% 6
2011.07 78 7% 13
2011.10 57 -27% 5
2012.01 78 37% 2
2012.04 88 13% 6
2012.07 87 -1% 4
2012.10 109 25% 5
2013.01 86 -21% 1
2013.04 128 49% 4
2013.07 89 -30% 6
2013.10 127 43% 2
2014.01 144 13% 5 5,0 4,1
2014.04 104 -28% 2 8,5 7,6
2014.07 113 9% 5 9,0 6,1
2014.10 154 36% 45 3,4 31 9,0 5,2
2015.01 169 10% 50 3,4 8 9,0 6,5
2015.04 96 -43% 43 2,2 4 9,0 6,0
2015.07 193 101% 63 3,1 10 9,0 5,1
2015.10 153 -21% 56 2,7 7 10,0 7,7
2016.01 248 62% 51 4,9 7 9,0 5,3
2016.04 136 -45% 49 2,8 5 9,0 5,7
2016.07 276 103% 84 3,3 9 9,0 6,3
2016.10 253 -8% 76 3,3 9 9,1 5,4
2017.01 270 7% 45 6,0 2 9,0 6,2
2017.04 300 11% 121 2,5 2 7,2 6,3
2017.07 308 3% 97 3,2 4 9,9 6,4
2017.10 252 -18% 88 2,9 6 8,8 7,0
2018.01 233 -8% 97 2,4 5 9,1 6,7
2018.04 254 9% 115 2,2 1 8,5 8,5
2018.07 334 31% 121 2,8 3 9,8 7,8
Mittelwert 150,6 3,2 6,1 8,8 6,3

Quelle: https://www.oracle.com/technetwork/topics/security/alerts-086861.html

English translation of this post

Dieser Beitrag wurde unter TrivadisContent abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.