Oracle запускает ежемесячные пакеты обновлений безопасности CSPU

Oracle вводит новый формат выпуска исправлений безопасности — Critical Security Patch Update (CSPU). Первый такой пакет вышел 28 мая 2026 года, он дополняет, но не заменяет привычные ежеквартальные Critical Patch Update (CPU).

Компания Oracle, один из крупнейших поставщиков СУБД и корпоративного ПО, изменила схему доставки исправлений безопасности. Помимо ежеквартальных пакетов Critical Patch Update (CPU), которые выходят с 2005 года, вендор начал выпускать отдельный формат — Critical Security Patch Update (CSPU). Это компактные наборы исправлений для критических уязвимостей, которые позволяют закрывать приоритетные проблемы, не дожидаясь следующего квартального выпуска.

Первый CSPU вышел 28 мая 2026 года. Дальнейшие выпуски привязаны к третьему вторнику месяца: по графику Oracle они приходятся на февраль, март, май, июнь, август, сентябрь, ноябрь и декабрь — то есть на месяцы между квартальными CPU. Перед каждым релизом, как и в случае с CPU, за несколько дней публикуется предварительное уведомление (pre-release announcement).

Квартальные Critical Patch Update сохраняются и остаются кумулятивными: июльский, октябрьский, январский и апрельский CPU будут включать в себя как новые исправления, так и патчи, ранее вышедшие в составе CSPU. Таким образом, CSPU не отменяет привычный цикл, а добавляет промежуточный канал для более оперативной реакции на угрозы. Ближайший квартальный CPU запланирован на июль 2026 года.

Первый майский CSPU затрагивает несколько линеек продуктов Oracle. В частности, он содержит исправления для компонентов Oracle Database, набор из 12 патчей для Oracle E-Business Suite, а также исправления для других семейств, включая Oracle Communications. Пакеты доступны заказчикам с действующими контрактами на поддержку. Подробности по конкретным уязвимостям и затронутым версиям приведены в официальном уведомлении Oracle.