Oracle publie 337 correctifs de sécurité

Les équipes chargées d'appliquer les correctifs pour les solutions Oracle ont encore beaucoup de travail avec 337 patchs de sécurité à appliquer, dont 27 comblent des failles critiques. Mais aucune zero day n'est à signaler.

Le début de l'année s'annonce chargé sur le front des correctifs de sécurité. Après le Patch Tuesday de Microsoft, c'est au tour d'Oracle de livrer sa mise à jour trimestrielle contenant 337 patchs pour l'ensemble de sa gamme de produits, dont 27 classés comme critiques. Si le nombre put apparaître impressionnant, il se situe dans la moyenne des mises à jour en 2025 avec 344 correctifs. Pour les administrateurs et les équipes de sécurité, La première tâche à accomplir est d'évaluer les patchs à appliquer en priorité en fonction de la sévérité et la criticité des vulnérabilités.

Parmi les bonnes nouvelles, le lot de correctifs ne comprend pas de failles zero day. Cependant, les équipes doivent porter une attention particulière aux 27 patchs correspondant à 13 CVE classés comme critiques. Il fut un temps où les mises à jour visaient à combler les failles du code propriétaire. Cette époque est révolue depuis longtemps ; une partie importante de la mise à jour de janvier concerne en effet des problèmes affectant du code tiers, tel que les bibliothèques open source utilisées par l'éditeur dans ses produits. C'est également la raison pour laquelle les CVE individuelles génèrent désormais souvent plusieurs correctifs pour différents produits, ce qui peut rendre plus difficile l'évaluation des corrections à apporter. Un exemple prioritaire est la CVE-2026-21962 qui affecte HTTP Server et Weblogic Server Proxy Plug-in. Avec un score CVSS maximal de 10, cette faille critique est endiguée par sept correctifs différents, selon le produit qui contient le code vulnérable.

56 correctifs rien que pour Zero Data Loss Recovery Appliance

Il est également déroutant que certaines CVE répertoriées dans le bulletin trimestriel se rapportent à d'autres issues de mises à jour trimestrielles précédentes. Un exemple notable est celui de la CVE-2025-66516, au score CVSS de 9.8 (critique), qui affecte les bibliothèques et outils communs Oracle Middleware, et qui a pour précurseur la CVE-2025-54988. Le problème résolu, très médiatisé, est lié à Apache Tika découvert pour la première fois en août dernier, dont la portée a été élargie en décembre pour couvrir davantage de composants. Ce phénomène de « gonflement » des CVE s'applique à environ 50 des vulnérabilités de cette mise à jour de janvier, dans certains cas avec une seule nouvelle CVE faisant référence à plusieurs anciennes. Parmi les produits bénéficiant du plus grand nombre de patchs à appliquer (56) est Zero Data Loss Recovery Appliance (ZDLRA) ; presque tous s'appliquent à des composants tiers. Bien que 34 d'entre eux soient décrits comme exploitables à distance, un seul dispose d'un nouvel identifiant CVE (2026-21977), dont la gravité est faible.

Juste derrière ZDLRA en termes de volume de correctifs, on trouve Enterprise Manager, avec 51 correctifs, dont 47 peuvent être exploités à distance sans authentification, et E-Business Suite, avec 38 correctifs, dont 33 sont exploitables à distance. Malgré le cycle de correctifs complet de l'éditeur, l'approche de la société en matière de sécurité n'a pas toujours été efficace. En 2025, un acteur malveillant a affirmé avoir volé six millions d'enregistrements sur un serveur Oracle vulnérable, une affirmation que la société a niée à plusieurs reprises mais confirmée par des clients. La société de sécurité CloudSEK a ensuite identifié la faille à l'origine du piratage présumé comme étant CVE-2021-35587, un ancien problème qui aurait dû être corrigé. Probablement par coïncidence, il a été annoncé en août que Mary Ann Davidson, responsable de la sécurité chez Oracle, quittait la société.