Les mises à jour s’appliquent à plusieurs produits et incluent également des correctifs pour les composants tiers
La mise à jour Oracle Critical Security Patch (CSPU) publiée cette semaine contient 245 correctifs récemment annoncés pour les logiciels sur site pris en charge, dont certains impactent plusieurs produits. Il s’agit d’une réaction à une tendance du secteur consistant à annoncer et à corriger les failles de sécurité beaucoup plus rapidement et complète le calendrier de correctifs trimestriel traditionnel d’Oracle.
Le lot actuel de correctifs affecte une large gamme de produits, notamment Oracle Enterprise Manager, JD Edwards, Fusion Middleware, MySQL, Peoplesoft et autres.
Oracle a déclaré que son objectif était de fournir des correctifs de sécurité ciblés et hautement prioritaires dans un format plus petit et plus ciblé, les rendant plus faciles à appliquer avec un minimum de perturbations. « Oracle effectue une analyse de chaque vulnérabilité de sécurité corrigée par une mise à jour critique du correctif de sécurité », a indiqué la société. « Oracle fournit ces informations afin que les clients puissent effectuer leur propre analyse des risques en fonction des détails de leur utilisation du produit. »
Flavio Villanustre, RSSI de LexisNexis Risk Solutions, a déclaré que bien qu’ils soient tous désignés comme hautement prioritaires, il considérait certains correctifs comme plus préoccupants.
« Le correctif PeopleSoft pour CVE-2026-35273 se démarque (car) il corrige une vulnérabilité critique d’exécution de code à distance dans Oracle PeopleSoft, qui est largement exploitée dans la nature. Ce correctif a été publié en tant qu’alerte de sécurité hors bande et nécessite une correction immédiate », a déclaré Villanustre.
« Mais non loin derrière, il y a les correctifs pour Oracle Fusion, qui ont reçu une centaine de correctifs dont plus de la moitié sont classés comme des exploits à distance sans authentification. Ceux-ci affectent des composants tels que WebLogic Server. »
Certains de ces correctifs concernaient les produits Oracle Fusion Middleware, dont un certain nombre arriveront à la fin du support d’Oracle d’ici la fin de l’année. Villanustre, cependant, ne considère pas les nombreuses failles de sécurité identifiées en leur sein comme particulièrement préoccupantes.
Il a souligné : « Oracle propose un support étendu pour (Fusion Middleware) jusqu’en décembre 2027 pour ceux qui souhaitent payer plus d’argent au lieu d’une mise à niveau, il sera donc toujours pris en charge pendant 18 mois supplémentaires, à partir de maintenant. »
Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a déclaré que l’importance de l’annonce d’Oracle ne réside pas dans le très grand nombre de correctifs mais dans leur portée.
« Le chiffre qui mérite d’être surveillé ne concerne pas les 245 parcelles mais l’endroit où elles atterrissent », a-t-il noté. « Sur les 245 correctifs, 106 se trouvent dans Fusion Middleware et 53 d’entre eux sont accessibles à distance sans authentification. Ce n’est pas une question d’hygiène des correctifs. C’est un problème de plan de contrôle. »
Toutefois, les défauts les plus graves ne sont pas ceux qui présentent les scores de gravité les plus élevés. « Ce sont ceux qui combinent accès à distance, absence d’authentification et placement privilégié dans des couches auxquelles d’autres systèmes sont conçus pour faire confiance », a-t-il déclaré.
« WebLogic Server présente deux de ces problèmes de gravité maximale, sur un produit que les attaquants ont recherché et ciblé pendant des années », a-t-il noté. « Oracle Coherence en comporte un autre, et Coherence est un composant partagé, donc son risque se multiplie discrètement à travers le domaine. Oracle Unified Directory peut être piraté sans authentification via LDAP. WebCenter se situe à la périphérie du public. Plusieurs de ces failles changent de portée, ce qui signifie qu’une compromission peut atteindre des produits bien au-delà de celui qui a été violé en premier. »
Chris Doyle, responsable de la sécurité et de la conformité chez JupiterOne, a déclaré que, comme Gogia, les vulnérabilités qui le préoccupaient le plus étaient celles qui pouvaient être exécutées sans avoir à voler des informations d’identification.
« Les failles qui ressortent le plus sont les vulnérabilités CVSS 10.0 dans Oracle Coherence et WebLogic Server, exploitables à distance sans aucune authentification requise. La cohérence se trouve sous de nombreuses piles d’applications d’entreprise, donc la compromettre n’est pas seulement un système, c’est un point pivot dans tout ce qui en dépend », a déclaré Doyle.
Et, a-t-il ajouté, « WebLogic est une cible de ransomware et de crypto mining depuis des années et l’accès non authentifié à la console est exactement la base recherchée par ces campagnes. »
Doyle a déclaré qu’il était également préoccupé par les failles de PeopleSoft.
« Celui qui présente l’urgence la plus immédiate est le CVE-2026-35273 dans PeopleSoft PeopleTools, dont Oracle a confirmé qu’il était déjà activement exploité avant même la livraison de ce correctif, et PeopleSoft gère les systèmes RH, financiers et étudiants que les opérateurs de ransomware ciblent spécifiquement », a déclaré Doyle. « Il s’agit de systèmes profondément couplés qui nécessitent des mises à niveau coordonnées sur plusieurs couches avec des tests de régression à chaque étape. Il n’existe souvent pas de contrôle compensatoire simple pour gagner du temps, il vous suffit de vous y frayer un chemin. »
Les problèmes de Fusion Middleware (Oracle a cité plus de 30 vulnérabilités dans ce seul lot) ont également posé un problème, étant donné la façon dont la plupart des opérations informatiques d’entreprise gèrent les correctifs pour les produits EOL.
« Les organisations qui y travaillent encore tentent désormais de mettre à jour un produit très ciblé tout en planifiant simultanément une migration qu’elles ne peuvent pas différer. Ces environnements sont fortement personnalisés, ce qui ralentit l’application des correctifs, et cet écart entre le « correctif disponible » et le « correctif appliqué » correspond exactement au moment où les attaquants se déplacent », a déclaré Doyle.
« Une fois le support terminé, les nouvelles vulnérabilités risquent de ne bénéficier d’aucun correctif », a-t-il noté. « Compte tenu du volume que nous constatons au cours de ce seul cycle, supposer que les choses se calmeront avant la date limite d’extinction n’est pas un pari que je voudrais faire. »
Gogia a ajouté qu’il y a peu de bonnes nouvelles liées aux failles de sécurité dont il n’a pas été confirmé qu’elles ont été utilisées par des attaquants.
« L’absence d’exploitation confirmée ailleurs n’est pas un réconfort. Une fois qu’un avis est publié, les attaquants le lisent, annulent le correctif, analysent les environnements d’entreprise exposés et affrontent les clients qui attendent toujours une fenêtre de maintenance », a déclaré Gogia.
« WebLogic n’est pas soudainement devenu dangereux. C’est une cible permanente depuis des années, et l’une de ses premières failles figure déjà dans le catalogue gouvernemental (de vulnérabilités exploitées connues). Attendre une preuve publique d’exploitation est la stratégie de correctif la plus coûteuse au menu. Au moment où la preuve arrive, le travail discret est généralement terminé. «
