Cybersécurité : Oracle inaugure son nouveau rythme mensuel avec 35 correctifs, dont 11 critiques

-

Salut à tous les amoureux de l'high-tech,

C’est un changement historique dans la stratégie défensive de l’un des plus grands géants du logiciel d'entreprise. Le 2 juin 2026, Oracle a publié sa toute première salve de correctifs de sécurité dans le cadre de son tout nouveau cycle mensuel, baptisé CSPU (Critical Security Patch Updates).

Jusqu’à présent, l’éditeur fonctionnait au rythme de lourdes mises à jour trimestrielles. Ce passage au mensuel, calqué sur les pratiques de Microsoft ou d’Adobe, vise à corriger en urgence les failles les plus dangereuses sans perturber l'activité des entreprises grâce à des formats de patchs beaucoup plus légers, compacts et rapides à déployer.

Le bilan de cette première édition CSPU (Juin 2026)

  • Total de failles corrigées : 35 brèches de sécurité.

  • Failles critiques : 11 vulnérabilités.

  • Failles de gravité élevée : 18 vulnérabilités.

  • Failles de gravité moyenne : 6 vulnérabilités.

  • Services impactés : Base de données Oracle, Rest Data Services, E-Business Suite, Universal Work Queue et Payments.

Priorité absolue : Une faille CVSS 10.0 sur Rest Data Services

Au milieu de cette trentaine de correctifs, les administrateurs système et les équipes de sécurité vont devoir se concentrer d'urgence sur un composant en particulier : Rest Data Services (qui permet d'exposer le contenu d'une base de données via des API).

La vulnérabilité CVE-2026-46840 a écopé de la note maximale de 10.0 sur l'échelle CVSS. Elle touche le composant Backend-as-a-Service (versions 24.2.0 à 26.1.0) et permet à un attaquant distant non authentifié de prendre le contrôle total de la passerelle via une simple requête HTTPS.

Sur ce même service, deux autres failles majeures (CVE-2026-46775 et CVE-2026-46839) affichent un score de 9,9. Elles n’échappent au score parfait de 10.0 que parce qu'elles nécessitent de posséder au préalable des identifiants réseau pour être exploitées.

[Attaquant non authentifié] ──► [Requête HTTPS malveillante] ──► [CVE-2026-46840 (CVSS 10.0)]
                                                                           │
[Prise de contrôle de la passerelle de base de données] ◄──────────────────┘

Le casse-tête de la Supply Chain et des PoC publics

Cette première mise à jour mensuelle s'attaque également à des vulnérabilités plus anciennes, mais devenues très dangereuses, car un code d'exploitation fonctionnel (PoC - Proof of Concept) circule désormais publiquement sur le net.

Sont notamment ciblées les failles CVE-2025-15467, CVE-2025-58050 et CVE-2026-25646 (liées à Communications Unified Assurance), ainsi que la CVE-2026-2332 (dans Rest Data Services). Elles concernent toutes des composants open source tiers directement intégrés dans l'écosystème d'Oracle. L'une d'elles avait été signalée dès août 2025, illustrant le temps logistique considérable que met l'industrie à corriger les failles liées à la chaîne d'approvisionnement logicielle (supply chain).

L'IA au rapport : Pas encore de miracles pour la détection

Fait intéressant mentionné dans le bulletin d’Oracle : malgré le battage médiatique incessant autour des systèmes d’automatisation de détection des failles par IA, aucune des vulnérabilités découvertes en mai 2026 n’est à mettre au crédit d'un algorithme.

Oracle a pourtant rappelé avoir un accès direct à des programmes de pointe spécialisés dans la cyber, comme Trusted Access for Cyber d'OpenAI ou le modèle Claude Mythos. Pour l'instant, l'intelligence humaine et les chercheurs en sécurité traditionnels gardent l'avantage sur le terrain de la découverte de failles de haut niveau.

Quel est le calendrier pour la suite ?

Les entreprises n'ont plus à attendre les fameuses réunions trimestrielles pour planifier leurs déploiements critiques. Oracle a annoncé que les mises à jour de sécurité CSPU seront désormais publiées le troisième mardi de chaque mois.

Le calendrier officiel est déjà fixé pour les prochains mois :

  • 16 juin 2026

  • 21 juillet 2026

  • 18 août 2026

  • 15 septembre 2026

Pour rappel, les clients d'Oracle recevront ces correctifs de manière entièrement automatisée.

L'avis du blog :

Il était temps qu'Oracle s'aligne enfin sur le modèle du Patch Tuesday de Microsoft. Attendre trois mois pour corriger des failles de base de données avec des scores CVSS proches de 10 n’était plus tenable à notre époque où les ransomwares frappent en quelques heures. Ce format mensuel plus compact est une excellente nouvelle pour les administrateurs système : il permet de diluer la charge de travail et d'éviter les interruptions de service massives. Si vos serveurs exploitent l'interface Rest Data Services d'Oracle, jetez un œil immédiat à vos consoles d'administration pour vérifier que la mise à jour s'est bien exécutée.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Règlement d'un montant de 1,375 milliard de dollars de Google pour le Texas!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de Google qui a   récemment accepté de verser 1,375 milliard de dollars à l'État du Texas pour régler deux poursuites l'accusant de suivre les données personnelles des utilisateurs, y compris leur localisation, leurs recherches en mode incognito, ainsi que leurs données vocales et faciales, sans leur consentement. Ces poursuites ont été initiées par le procureur général du Texas, Ken Paxton, en 2022. Ce règlement est le plus important jamais obtenu par un procureur général contre Google en matière de lois sur la vie privée au niveau national. Paxton a déclaré : « Au Texas, Big Tech n'est pas au-dessus des lois. » Un porte-parole de Google a indiqué que l'entreprise réglait ces poursuites sans admission de culpabilité et sans avoir à modifier ses produits. José Castañeda a précisé que ce règlement concernait des réclamations anciennes, dont beaucoup avaient déjà été résolues ailleurs, et a souligné que Google cont...
Lire la suite

Clap de fin sur le rachat Activision Blizzard par Microsoft: la FTC perd en appel!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour la fin du feuilleton du rachat d'Activision Blizzard King par Microsoft touche à sa fin. La Federal Trade Commission (FTC), l'autorité américaine de la concurrence, a perdu son appel visant à bloquer cette acquisition de 69 milliards de dollars. Cette décision judiciaire lève le dernier obstacle juridique aux États-Unis, rendant l'opération désormais officielle sur ce marché clé. Une victoire décisive pour Microsoft Après plusieurs mois de batailles judiciaires, Microsoft a triomphé. La cour d'appel américaine a confirmé la décision de première instance, rejetant les arguments de la FTC qui tentait d'obtenir une injonction pour suspendre le rachat. Ce revers pour le régulateur souligne son incapacité à freiner la consolidation dans le secteur technologique et du jeu vidéo. Les préoccupations de la FTC La FTC s'était opposée à cette acquisition en évoquant des risques pour la concurrence, craignant que Microsoft ...
Lire la suite

Investissement d'un montant d'1 milliard d'euros dans un data center européen par Tik Tok!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de l'annonce de TikTok à propos d'un investissement d'un milliard d'euros pour la construction d'un nouveau data center à Kouvola, dans le sud-est de la Finlande.  La semaine précédente, l'Union européenne avait infligé une amende de 530 millions d'euros à TikTok, accusé de transférer les données des utilisateurs européens vers la Chine sans garanties suffisantes contre l'accès des autorités chinoises. En réponse, TikTok a annoncé son intention de faire appel de cette décision. L'initiative en Finlande s'inscrit dans le cadre du Projet Clover, un programme plus vaste de 12 milliards d'euros lancé par TikTok pour renforcer la protection des données de ses 175 millions d'utilisateurs européens. L'entreprise considère cette infrastructure comme une « étape significative » dans son engagement envers la sécurité des données sur le continent. Le futur data center permettra de stocker...
Lire la suite