This post was originally published on this site
Seit Januar 2018 veröffentliche in meinem Blog einige Statistiken und Grafiken zu den Critical Patch Updates von Oracle. Gestern hat Oracle die Juli-Patches veröffentlicht und so ist es Zeit für das Juli-Update
Kritisch betrachtet sind diese Statistiken natürlich nutzlos. Die reinen Zahlen sagen nichts über die Kritikalität der Fehler aus; eine einzelne Sicherheitslücke, die einen Datenbank-Zugang remote ohne Password ermöglicht ist sicher deutlich schwerwiegender als eine Lücke, die nur unter bestimmten Bedingungen für wenige Betriebssysteme existiert und die z.B. durch eine Parameter-Änderung behoben werden kann.
Wieviele Patches enthält das große „CPU-Paket“ insgesamt?
Nachdem vor einem Jahr erstmals die magische 300er-Grenze überschritten wurde, wurde jetzt mit 334 Patches ein neues „All-Time-High“ erzielt.
Natürlich ist das eine sehr hohe Anzahl von Patches, aber die Patches verteilen sich insgesamt auf 121 Produkte. Das senkt das arithmetische Mittel „Anzahl Patches pro betroffenem Produkt“:
Es sind also – im Mittel – etwa 3 Patches pro betroffenem Produkt. Die Datenbank liegt da beim CPU Juli 2018 gut im Rennen, denn lt. Oracle werden dieses Mal nur 3 Security-Lücken in der Datenbank behoben:
Allerdings sollte man sich jetzt nicht zu sehr über die geringe Anzahl von Datenbank-Fixes freuen, denn die CVSS-Scores für die Datenbank-Patches bleiben konstant auf recht hohem Niveau:
Gesamtübersicht über die Critical Patch-Updates seit 2010
| Jahr | #Security Patches | Veränderung zum Vorquartal | #Produkte | #Patches/ #Produkte | Security Patches für DB | DB – max CVSS score | DB – avg CVSS score |
| 2010.01 | 24 | bis 7/2014 wurden die Produkte in der Patchübersicht anders aufgeführt, daher sind frühere Auflistungen nicht mit den aktuellen Auflistungen vergleichbar | 9 | ||||
| 2010.04 | 47 | 96% | 7 | ||||
| 2010.07 | 59 | 26% | 6 | ||||
| 2010.10 | 86 | 46% | 7 | ||||
| 2011.01 | 66 | -23% | 5 | ||||
| 2011.04 | 73 | 11% | 6 | ||||
| 2011.07 | 78 | 7% | 13 | ||||
| 2011.10 | 57 | -27% | 5 | ||||
| 2012.01 | 78 | 37% | 2 | ||||
| 2012.04 | 88 | 13% | 6 | ||||
| 2012.07 | 87 | -1% | 4 | ||||
| 2012.10 | 109 | 25% | 5 | ||||
| 2013.01 | 86 | -21% | 1 | ||||
| 2013.04 | 128 | 49% | 4 | ||||
| 2013.07 | 89 | -30% | 6 | ||||
| 2013.10 | 127 | 43% | 2 | ||||
| 2014.01 | 144 | 13% | 5 | 5,0 | 4,1 | ||
| 2014.04 | 104 | -28% | 2 | 8,5 | 7,6 | ||
| 2014.07 | 113 | 9% | 5 | 9,0 | 6,1 | ||
| 2014.10 | 154 | 36% | 45 | 3,4 | 31 | 9,0 | 5,2 |
| 2015.01 | 169 | 10% | 50 | 3,4 | 8 | 9,0 | 6,5 |
| 2015.04 | 96 | -43% | 43 | 2,2 | 4 | 9,0 | 6,0 |
| 2015.07 | 193 | 101% | 63 | 3,1 | 10 | 9,0 | 5,1 |
| 2015.10 | 153 | -21% | 56 | 2,7 | 7 | 10,0 | 7,7 |
| 2016.01 | 248 | 62% | 51 | 4,9 | 7 | 9,0 | 5,3 |
| 2016.04 | 136 | -45% | 49 | 2,8 | 5 | 9,0 | 5,7 |
| 2016.07 | 276 | 103% | 84 | 3,3 | 9 | 9,0 | 6,3 |
| 2016.10 | 253 | -8% | 76 | 3,3 | 9 | 9,1 | 5,4 |
| 2017.01 | 270 | 7% | 45 | 6,0 | 2 | 9,0 | 6,2 |
| 2017.04 | 300 | 11% | 121 | 2,5 | 2 | 7,2 | 6,3 |
| 2017.07 | 308 | 3% | 97 | 3,2 | 4 | 9,9 | 6,4 |
| 2017.10 | 252 | -18% | 88 | 2,9 | 6 | 8,8 | 7,0 |
| 2018.01 | 233 | -8% | 97 | 2,4 | 5 | 9,1 | 6,7 |
| 2018.04 | 254 | 9% | 115 | 2,2 | 1 | 8,5 | 8,5 |
| 2018.07 | 334 | 31% | 121 | 2,8 | 3 | 9,8 | 7,8 |
| Mittelwert | 150,6 | 3,2 | 6,1 | 8,8 | 6,3 | ||
Quelle: https://www.oracle.com/technetwork/topics/security/alerts-086861.html
English translation of this post
Werbung (Amazon-Partner-Link)
