Oracle устранила 450 уязвимостей в апрельском обновлении
3 мин
46
1
Компания Oracle выпустила 481 патч безопасности в рамках ежеквартального пакета обновлений Critical Patch Update за апрель 2026 года. В пакете 300 исправлений закрывают уязвимости, которые можно эксплуатировать удалённо без авторизации в системе. 36 патчей устраняют критические уязвимости. На странице апрельского обновления указаны 450 уникальных идентификаторов CVE. 240 из них включены в таблицы оценки рисков, остальные закрыты дополнительно. Также компания устранила проблемы сторонних компонентов, которые из-за их наличия нельзя было эксплуатировать в продуктах Oracle. Компания опубликовала апрельский пакет обновлений спустя месяц после выпуска экстренного патча для CVE-2026-21992. Эта критическая уязвимость позволяла удалённо выполнить код в Identity Manager и Web Services Manager.
В ряде случаев один идентификатор CVE был закрыт сразу в нескольких продуктах. Для некоторых решений компания не выпустила исправлений для собственных уязвимостей, но включила обновления сторонних компонентов.
Больше всего патчей получила линейка Oracle Communications — 139 исправлений, из которых 93 закрывают уязвимости с возможностью удалённой эксплуатации без аутентификации. На втором месте находится Financial Services Applications с 75 патчами, из которых 59 устраняют удалённо эксплуатируемые бреши без необходимости авторизации. Тройку замыкает продукт Fusion Middleware, для которого выпущено 59 исправлений, 46 из них закрывают проблемы с удалённой эксплуатацией без авторизации.
MySQL получил 34 исправления, три из которых устраняют уязвимости, эксплуатируемые удалённо без аутентификации. Следующим продуктом указан PeopleSoft. Для него вышел 21 патч. Согласно бюллетеню Oracle, программное обеспечение E-Business Suite получило 18 исправлений, 8 из которых закрывают такие же проблемы, а Analytics и Retail Applications — по 15 патчей.
Для Siebel CRM вышло 14 исправлений, а безопасность продуктов Java SE улучшили 11 патчами. GoldenGate получил 10 исправлений, Enterprise Manager — 9 патчей, из которых 8 закрывают удалённо эксплуатируемые уязвимости. Для Virtualization выпустили 9 исправлений, но только одно из них связано с возможностью удалённой эксплуатации. Database Server получил 8 патчей.
Обновления также вышли для целого ряда других продуктов компании. Среди них — Adapter for Eclipse RDF4J, Autonomous Health Framework, Blockchain Platform, REST Data Services и TimesTen In-Memory Database. Патчи получили Commerce, Construction and Engineering, Life Science Applications, Hospitality Applications и Hyperion. Исправления выпущены для JD Edwards, Supply Chain, Systems и Utilities Applications.
390 из исправленных уязвимостей были публично раскрыты за последние два года. Большинство остальных датированы периодом с 2022 по 2024 год. Пять уязвимостей были обнаружены пять лет назад. Из них четыре раскрыли в 2021 году и одну — в 2020-м.
