Компания Oracle предоставила командам по безопасности первую крупную задачу по установке исправлений в новом году: её последний квартальный релиз содержит внушительные 337 исправлений безопасности для всего спектра продуктов, включая 27 с критическим уровнем угрозы.
Такое внушительное число патчей не удивит никого, чья работа связана с обслуживанием продуктов Oracle; в 2025 году компания в среднем выпускала 344 исправления за обновление, так что 337 находится в пределах нормы.
Первоочередная задача при работе с такими крупными обновлениями — определить, с чего начать и что является приоритетным. Как правило, это означает оценку уязвимостей в ключевых продуктах с особым вниманием к степени критичности.
Что касается последнего, то хорошая новость заключается в том, что, насколько известно Oracle, ни одна из уязвимостей января не эксплуатируется в реальных условиях. Это означает, что на этот раз нет угроз “нулевого дня”, о которых стоило бы беспокоиться.
Однако нет гарантии, что ситуация не изменится, поэтому команды безопасности уделят самое пристальное внимание 27 патчам, соответствующим 13 CVE с критическим рейтингом.
Было время, когда обновления были сосредоточены на исправлении недочетов в проприетарном коде. Те времена прошли; значительная часть январского обновления касается проблем, затрагивающих сторонний код, например, библиотеки с открытым исходным кодом, используемые Oracle внутри своих продуктов.
Именно поэтому отдельные CVE теперь часто порождают множественные исправления для разных продуктов, что может усложнить процесс оценки того, что именно необходимо исправить.
Примером высокого приоритета является CVE-2026-21962, затрагивающий Oracle HTTP Server и Oracle Weblogic Server Proxy Plug-in. Учитывая максимальный балл CVSS 10, эта критическая уязвимость устраняется с помощью семи различных патчей, в зависимости от того, какой продукт содержит уязвимый код.
Раздувание CVE
Запутанности добавляет и тот факт, что некоторые CVE, перечисленные в последнем обновлении, связаны с CVE из предыдущих квартальных релизов. Ярким примером является CVE-2025-66516 с рейтингом 9.8 (критический) по CVSS, затрагивающий общие библиотеки и инструменты Oracle Middleware, который имеет предшественника в виде CVE-2025-54988. Он устраняет нашумевшую проблему с Apache Tika, впервые обнаруженную в августе, область действия которой была расширена для охвата большего числа компонентов в декабре.
Это явление “раздувания CVE” затрагивает около 50 уязвимостей в январском обновлении, в некоторых случаях один новый CVE ссылается на несколько более старых CVE.
Что касается продуктов, то главным “нарушителем” с 56 патчами, подлежащими установке, является Zero Data Loss Recovery Appliance (ZDLRA); почти все они являются исправлениями для сторонних компонентов. Несмотря на то, что 34 из них описаны как удаленно эксплуатируемые, только один имеет новый идентификатор CVE — CVE-2026-21977 с низким уровнем критичности по CVSS 3.1.
Для тех, кто занимается установкой патчей, эта нюансировка важна: продукт может иметь всего один новый CVE, за которым стоят многочисленные другие уязвимости, выявленные в CVE от других поставщиков.
Сразу за ZDLRA по объему патчей следуют Oracle Enterprise Manager с 51 исправлением (47 из которых могут быть использованы удаленно без аутентификации) и Oracle E-Business Suite с 38 исправлениями (33 из которых поддаются удаленной эксплуатации).
Несмотря на всеобъемлющий цикл выпуска исправлений Oracle, подход компании к безопасности не всегда был эффективным. В 2025 году злоумышленник заявил о краже шести миллионов записей из уязвимого сервера Oracle, что компания неоднократно отрицала.
Позже компания CloudSEK определила уязвимость, приведшую к предполагаемому взлому, как CVE-2021-35587 — старая проблема, которую следовало устранить. По совпадению, в августе было объявлено об уходе многолетнего директора по информационной безопасности Мэри Энн Дэвидсон.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
