Oracle Critical Patch Updates – etwas Statistik – das Juli-Update
Seit Januar 2018 veröffentliche in meinem Blog einige Statistiken und Grafiken zu den Critical Patch Updates von Oracle. Gestern hat Oracle die Juli-Patches veröffentlicht und so ist es Zeit für das Juli-Update
Kritisch betrachtet sind diese Statistiken natürlich nutzlos. Die reinen Zahlen sagen nichts über die Kritikalität der Fehler aus; eine einzelne Sicherheitslücke, die einen Datenbank-Zugang remote ohne Password ermöglicht ist sicher deutlich schwerwiegender als eine Lücke, die nur unter bestimmten Bedingungen für wenige Betriebssysteme existiert und die z.B. durch eine Parameter-Änderung behoben werden kann.
Wieviele Patches enthält das große „CPU-Paket“ insgesamt?
Nachdem vor einem Jahr erstmals die magische 300er-Grenze überschritten wurde, wurde jetzt mit 334 Patches ein neues „All-Time-High“ erzielt.
Natürlich ist das eine sehr hohe Anzahl von Patches, aber die Patches verteilen sich insgesamt auf 121 Produkte. Das senkt das arithmetische Mittel „Anzahl Patches pro betroffenem Produkt“:
Es sind also – im Mittel – etwa 3 Patches pro betroffenem Produkt. Die Datenbank liegt da beim CPU Juli 2018 gut im Rennen, denn lt. Oracle werden dieses Mal nur 3 Security-Lücken in der Datenbank behoben:
Allerdings sollte man sich jetzt nicht zu sehr über die geringe Anzahl von Datenbank-Fixes freuen, denn die CVSS-Scores für die Datenbank-Patches bleiben konstant auf recht hohem Niveau:
Gesamtübersicht über die Critical Patch-Updates seit 2010
| Jahr | #Security Patches | Veränderung zum Vorquartal | #Produkte | #Patches/ #Produkte | Security Patches für DB | DB – max CVSS score | DB – avg CVSS score |
| 2010.01 | 24 | bis 7/2014 wurden die Produkte in der Patchübersicht anders aufgeführt, daher sind frühere Auflistungen nicht mit den aktuellen Auflistungen vergleichbar | 9 | ||||
| 2010.04 | 47 | 96% | 7 | ||||
| 2010.07 | 59 | 26% | 6 | ||||
| 2010.10 | 86 | 46% | 7 | ||||
| 2011.01 | 66 | -23% | 5 | ||||
| 2011.04 | 73 | 11% | 6 | ||||
| 2011.07 | 78 | 7% | 13 | ||||
| 2011.10 | 57 | -27% | 5 | ||||
| 2012.01 | 78 | 37% | 2 | ||||
| 2012.04 | 88 | 13% | 6 | ||||
| 2012.07 | 87 | -1% | 4 | ||||
| 2012.10 | 109 | 25% | 5 | ||||
| 2013.01 | 86 | -21% | 1 | ||||
| 2013.04 | 128 | 49% | 4 | ||||
| 2013.07 | 89 | -30% | 6 | ||||
| 2013.10 | 127 | 43% | 2 | ||||
| 2014.01 | 144 | 13% | 5 | 5,0 | 4,1 | ||
| 2014.04 | 104 | -28% | 2 | 8,5 | 7,6 | ||
| 2014.07 | 113 | 9% | 5 | 9,0 | 6,1 | ||
| 2014.10 | 154 | 36% | 45 | 3,4 | 31 | 9,0 | 5,2 |
| 2015.01 | 169 | 10% | 50 | 3,4 | 8 | 9,0 | 6,5 |
| 2015.04 | 96 | -43% | 43 | 2,2 | 4 | 9,0 | 6,0 |
| 2015.07 | 193 | 101% | 63 | 3,1 | 10 | 9,0 | 5,1 |
| 2015.10 | 153 | -21% | 56 | 2,7 | 7 | 10,0 | 7,7 |
| 2016.01 | 248 | 62% | 51 | 4,9 | 7 | 9,0 | 5,3 |
| 2016.04 | 136 | -45% | 49 | 2,8 | 5 | 9,0 | 5,7 |
| 2016.07 | 276 | 103% | 84 | 3,3 | 9 | 9,0 | 6,3 |
| 2016.10 | 253 | -8% | 76 | 3,3 | 9 | 9,1 | 5,4 |
| 2017.01 | 270 | 7% | 45 | 6,0 | 2 | 9,0 | 6,2 |
| 2017.04 | 300 | 11% | 121 | 2,5 | 2 | 7,2 | 6,3 |
| 2017.07 | 308 | 3% | 97 | 3,2 | 4 | 9,9 | 6,4 |
| 2017.10 | 252 | -18% | 88 | 2,9 | 6 | 8,8 | 7,0 |
| 2018.01 | 233 | -8% | 97 | 2,4 | 5 | 9,1 | 6,7 |
| 2018.04 | 254 | 9% | 115 | 2,2 | 1 | 8,5 | 8,5 |
| 2018.07 | 334 | 31% | 121 | 2,8 | 3 | 9,8 | 7,8 |
| Mittelwert | 150,6 | 3,2 | 6,1 | 8,8 | 6,3 | ||
Quelle: https://www.oracle.com/technetwork/topics/security/alerts-086861.html
English translation of this post
Werbung (Amazon-Partner-Link)