Корпорация Oracle выпустила внеочередное обновление безопасности (Critical Patch Update) в апреле 2026 года, которое закрывает множество уязвимостей в сервере баз данных Oracle Database Server. Данный патч затрагивает практически все ключевые компоненты системы, включая Java VM (виртуальная машина Java) и XML Database, и требует немедленного внимания со стороны администраторов и специалистов по информационной безопасности. Согласно бюллетеню безопасности, опубликованному 21 апреля, наибольшую опасность представляют уязвимости, позволяющие несанкционированно получить доступ к критическим данным или вызвать отказ в обслуживании.
Детали уязвимостей
Обновление охватывает широкий спектр версий продукта: от устаревшей ветки 19.3 до новейшей версии 23.26.1. В список затронутых компонентов попали Java VM (версии 19.3-19.30 и 21.3-21.21), XML Database (23.4.0-23.26.1), RDBMS (система управления реляционными базами данных), Data Mining, а также Clusterware - компонент для обеспечения отказоустойчивости. Подобный масштаб свидетельствует о том, что проблема носит системный характер и не ограничивается одним модулем. Разработчики призывают пользователей как можно скорее установить исправления, поскольку некоторые из обнаруженных дефектов могут быть использованы злоумышленниками без какой-либо аутентификации.
Наиболее критичной, по мнению экспертов, является уязвимость CVE-2026-35229 в компоненте Java VM. Она получила максимальный балл 7.5 по шкале CVSS v3.1. Основная причина для беспокойства заключается в том, что для её эксплуатации злоумышленнику достаточно иметь сетевой доступ к серверу по протоколу Oracle Net. Атака не требует от нарушителя никаких привилегий, а её успешное выполнение приводит к раскрытию всей информации, доступной виртуальной машине Java. Между тем, в современных корпоративных системах Java VM часто обрабатывает критически важные бизнес-логики и финансовые транзакции, поэтому данная уязвимость представляет собой прямую угрозу конфиденциальности данных.
Не менее опасной выглядит уязвимость CVE-2026-21999, затрагивающая компонент XML Database. Хотя она классифицируется как сложная для эксплуатации (требует взаимодействия с пользователем и доступа по протоколу HTTPS), её сценарий использования не требует аутентификации. Успешная атака позволяет злоумышленнику получить полный доступ ко всем данным, хранящимся в XML Database. Учитывая, что данный компонент часто используется для обмена данными между различными системами предприятия, его взлом может привести к сложной цепочке компрометации внутренних сервисов. Кроме того, была зафиксирована уязвимость CVE-2026-34312 в компоненте RDBMS, которая, хотя и требует высоких привилегий (Row Access Method), всё же позволяет нарушителю несанкционированно читать данные.
В бюллетене также упоминаются уязвимости в сторонних библиотеках, которые входят в состав стека технологий Oracle. В частности, сразу несколько критических CVE (идентификаторов уязвимостей) были обнаружены в криптографической библиотеке OpenSSL. Например, CVE-2025-15467 связана с переполнением буфера стека при разборе структур CMS (синтаксис криптографических сообщений). Этот дефект может привести не только к отказу в обслуживании, но и к удалённому выполнению кода, что делает его крайне опасным. Ещё один баг в OpenSSL, CVE-2026-31790, затрагивает механизм инкапсуляции ключей RSA. В этом случае из-за некорректной обработки ошибок злоумышленник может получить содержимое неинициализированной области памяти, что потенциально приводит к утечке конфиденциальных данных предыдущих сессий. Примечательно, что данная проблема затронула даже FIPS-модули (сертифицированные криптографические модули) OpenSSL. Отдельного внимания заслуживает уязвимость CVE-2026-33870 в сетевом фреймворке Netty, которая открывает возможность для контрабанды HTTP-запросов (HTTP Request Smuggling), что может дезорганизовать работу веб-приложений и прокси-серверов. Крупные корпоративные системы, развёрнутые на серверах Oracle, часто полагаются на данный фреймворк для обработки сетевых взаимодействий.
В контексте этих событий возникает вопрос о практических последствиях для бизнеса. Эксплуатация уязвимости в Java VM или OpenSSL может позволить злоумышленнику не только похитить данные, но и закрепиться в системе, создав бэкдор. Сценарий атаки с использованием контрабанды HTTP-запросов может привести к тому, что легитимные сессии пользователей будут перенаправлены на подконтрольные ресурсы. Между тем, для администраторов баз данных ситуация осложняется тем, что применение обновлений Oracle требует тщательного тестирования в среде, изолированной от продуктивной, - столь рискованно обновлять промышленные базы данных без всесторонней проверки совместимости. Однако, учитывая высокий балл CVSS у некоторых уязвимостей, задержка с установкой патча может оказаться дороже. Особенно остро это касается CVE-2026-35229, для которой не требуется никаких дополнительных привилегий. Рекомендуется в первую очередь обратить внимание на версии Java VM 19.3-19.30 и 21.3-21.21, а также на любые инсталляции, где используется OpenSSL в версиях 3.0.x, 3.3.x, 3.4.x, 3.5.x и 3.6.x. Важно отметить, что хотя некоторые уязвимости кажутся изолированными в рамках одного продукта, их совокупность создаёт благоприятную среду для сложных атак, направленных на подрыв доверия к корпоративной инфраструктуре. Регулярное сканирование на наличие уязвимостей и внедрение патч-менеджмента остаются единственными надёжными средствами против подобных угроз.
Ссылки
- https://www.oracle.com/security-alerts/cpuapr2026.html
- https://www.cve.org/CVERecord?id=CVE-2026-35229
- https://www.cve.org/CVERecord?id=CVE-2026-34312
- https://www.cve.org/CVERecord?id=CVE-2026-33870
- https://www.cve.org/CVERecord?id=CVE-2026-33013
- https://www.cve.org/CVERecord?id=CVE-2026-31790
- https://www.cve.org/CVERecord?id=CVE-2026-26007
- https://www.cve.org/CVERecord?id=CVE-2026-21999
- https://www.cve.org/CVERecord?id=CVE-2025-48924
- https://www.cve.org/CVERecord?id=CVE-2025-31948
- https://www.cve.org/CVERecord?id=CVE-2025-15467
