Oracle Critical Patch-Updates: Statistiken für das Jahr 2023 [Update Oktober 2023]
Der im Oktober veröffentlichte Critical Patch Update umfasst 387 Patches und liegt damit deutlich unter den 508 Patches, die im CPU im Juli freigegeben wurden. Für die Datenbank sind nur 10 Patches dabei, das sind allerdings doppelt soviele wie vor drei Monaten. Der maximale CVSS-Score bei den Datenbank-Patches beträgt 6,5.
Allerdings gilt wie immer bei diesen Auswertungen der bekannte Spruch: „es gibt Lügen, Fälschungen und Statistiken“. Die nackten Zahlen sagen nichts über das Risiko aus, es gibt Lücken, die ohne Authentifizierung via Netzwerk ausgenutzt werden können und andererseits gibt es Lücken, die nur bestimmte Komponenten oder Optionen betreffen und die somit nicht in allen Fällen relevant sind.
Über das gesamte Jahr 2023 betrachtet waren es 29 Datenbank-Patches und damit etwas mehr als im letzten Jahr (26).
Gesamtzahl der Patches pro CPU (über alle Produkte)
Mittlere Anzahl von Patches pro betroffenem Produkt
Anzahl Datenbank-Patches pro CPU
Wobei natürlich für die Datenbank-Patches wie auch für alle anderen Patches bzw. Bugs gilt: nicht alle Patches sind für alle Konfigurationen oder Plattformen relevant. Aber natürlich ist jeder Bug ein Risiko.
Gesamtzahl DB-Patches pro Jahr
Die Anzahl der Datenbankpatches (29) liegt etwas auf dem Niveau des Vorjahres (26) und deutlich unter den Jahren 2020 und 2021
Zum Abschluss noch ein Blick auf die CVSS-Scores im Bereich „Datenbanken“:
Maximale CVSS-Scores
Mittelwert der CVSS-Scores (Datenbank)
Entwicklung der Oracle Critical Patch-Updates
CPU Übersicht
| Quarter | #Patches | #affected Products | %Difference to previous Quarter | Average Number of Patches per Product | #Database Patches | Average CVSS Score (DB Patches) | Maximum CVSS Score (DB Patches) |
|---|---|---|---|---|---|---|---|
| 2015-01 | 169 | 50 | 10 | 3.4 | 8 | 6.5 | 9 |
| 2015-04 | 96 | 43 | -43 | 2.2 | 4 | 6 | 9 |
| 2015-07 | 193 | 63 | 101 | 3.1 | 10 | 5.1 | 9 |
| 2015-10 | 153 | 56 | -21 | 2.7 | 7 | 7.7 | 10 |
| 2016-01 | 248 | 51 | 62 | 4.9 | 7 | 5.3 | 9 |
| 2016-04 | 136 | 49 | -45 | 2.8 | 5 | 5.7 | 9 |
| 2016-07 | 276 | 84 | 103 | 3.3 | 9 | 6.3 | 9 |
| 2016-10 | 253 | 76 | -8 | 3.3 | 9 | 5.4 | 9.1 |
| 2017-01 | 270 | 45 | 7 | 6 | 2 | 6.2 | 9 |
| 2017-04 | 300 | 121 | 11 | 2.5 | 2 | 6.3 | 7.2 |
| 2017-07 | 308 | 97 | 3 | 3.2 | 4 | 6.4 | 9.9 |
| 2017-10 | 252 | 88 | -18 | 2.9 | 6 | 7 | 8.8 |
| 2018-01 | 233 | 97 | -8 | 2.4 | 5 | 6.7 | 9.1 |
| 2018-04 | 254 | 115 | 9 | 2.2 | 1 | 8.5 | 8.5 |
| 2018-07 | 334 | 121 | 31 | 2.8 | 3 | 7.8 | 9.8 |
| 2018-10 | 301 | 101 | -10 | 3 | 3 | 6.8 | 9.8 |
| 2019-01 | 284 | 94 | -6 | 3 | 3 | 6.3 | 8.2 |
| 2019-04 | 297 | 110 | 5 | 2.7 | 6 | 7.5 | 9.1 |
| 2019-07 | 322 | 121 | 8 | 2.7 | 8 | 6.2 | 9.8 |
| 2019-10 | 219 | 72 | -32 | 3.1 | 10 | 4.6 | 6.8 |
| 2020-01 | 334 | 93 | 53 | 3.6 | 12 | 5.2 | 7.7 |
| 2020-04 | 397 | 116 | 19 | 3.4 | 8 | 6.2 | 8 |
| 2020-07 | 443 | 136 | 12 | 3.3 | 19 | 4.6 | 8.8 |
| 2020-10 | 420 | 137 | -5 | 3.1 | 18 | 8 | 8.8 |
| 2021-01 | 329 | 113 | -28 | 2.9 | 8 | 5.7 | 8.8 |
| 2021-04 | 390 | 124 | 19 | 3.2 | 10 | 4.9 | 7.5 |
| 2021-07 | 326 | 126 | -16 | 2.6 | 16 | 5.1 | 8.3 |
| 2021-10 | 419 | 133 | 29 | 3.2 | 9 | 5.6 | 8.2 |
| 2022-01 | 497 | 165 | 19 | 3 | 4 | 4 | 5.4 |
| 2022-04 | 520 | 174 | 49 | 3 | 5 | 5.5 | 7.2 |
| 2022-07 | 349 | 138 | -30 | 2.5 | 9 | 6.1 | 9.1 |
| 2022-10 | 370 | 126 | -29 | 2.9 | 8 | 6.1 | 7.2 |
| 2023-01 | 327 | 101 | -9 | 3.2 | 9 | 5.6 | 7.5 |
| 2023-04 | 433 | 142 | +32 | 3.1 | 5 | 6.2 | 6.8 |
| 2023-07 | 508 | 132 | +17 | 3.9 | 5 | 4.7 | 6.5 |
| 2023-10 | 387 | 122 | -24 | 3.2 | 10 | 4.6 | 6.5 |
Abschließend noch ein Tipp zur Installation der Critical-Patch-Updates bei Oracle 19c Datenbanken: Wenn man die Datenbank im Upgrade-Modus startet, dann kommt es beim datapatch zu einem Fehler: also die Datenbank vor dem Start von „datapatch“ im normalen Modus starten.
Links:
- Oracle Critical Patch Updates (Übersicht)