Oracle a publié son dernier patch de mise à jour critique (CPU), contenant 144 correctifs de sécurité pour toutes les familles de produits, dont 36 consacrés à Java SE. Oracle a déclaré que 34 de ces vulnérabilités peuvent être exploitées sur le réseau sans authentification et ils recommandent l'application des correctifs CPU le plus tôt possible. D'autres produits sont concernés dans ce CPU tels que Peoplesoft, Fusion Middleware, et leur base de données relationnelle flagship.
Oracle a déclaré qu'une attaque réussie de ces vulnérabilités peut conduire à une mise à jour non autorisée, d'insérer ou de supprimer l'accès à certaines données Java SE accessibles et l'accès en lecture à un sous-ensemble. Une attaque peut également causer un déni de service partiel (DOS) de Java SE.
La matrice des risques pour Oracle Java SE inclut des vulnérabilités et des identifiants d’exposition (CVE) tout au long de la description. Oracle a introduit le programme CPU, une désignation indiquant une série de correctifs pour des failles de sécurité, en Janvier 2005. Des correctifs de sécurité Java SE séparés sont publiés sous le calendrier normal CPU depuis Octobre 2013. Les quatre prochaines dates de publication seront le 15 Avril 2014, le 15 Juillet 2014, le 14 Octobre 2014 et le 20 Janvier 2015. La liste des correctifs contient à la fois des CPU cumulatifs et non cumulatifs (les CPU cumulatifs ont tous les correctifs de ce produit, y compris les mises à jour précédentes). Le tableau de disponibilité des correctifs fournit plus d'informations sur les correctifs cumulatifs et non cumulatifs, ainsi qu'un guide d'installation.
Les correctifs publiés par le programme CPU sont disponibles pour les produits couverts par le Support Premier Niveau ou sous des phases de prise en charge étendues de la Politique du Support Lifetime. Dans les précautions CPU, Oracle avertit :
Les versions de produits qui ne sont pas sous le Support Premier Niveau, ni sous le support étendu, ne sont pas testés pour détecter la présence de vulnérabilités corrigées par cette mise à jour critique. Cependant, il est fort probable que les versions antérieures des produits touchés soient également affectées par ces vulnérabilités. En conséquence, Oracle recommande à ses clients la mise à niveau vers des versions supportées.