Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении устранено 309 уязвимостей...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63583
>В Solaris в июльском отчёте уязвимостей не отмечено.Самая безопасная система!
Забронзовела...
> 8u461.У Zulu уже версия 8.0.462 раздается.
У java давно так, выходит билд xx1 только с фиксами безопасности и xx2 с фиксами безопасности и другими изменениями.У этих azul zulu только самому пакеты качать, нет репы как у adoptium temurin?
Я скачиваю время от времени. Автоматическое обновление в принципе может делать OpenWebStart, но я запретил. К 8-ке "привязан" из-за специфики прикладного ПО.
Закопали бы уже эту стюардессу. Те корпораты кому 8-ка нужна заплатили и сидят на Oracle, а не на клонах опенджавы.
Как то, что "кто то там, далеко" пилит - мешает жЫть лично тебе?!?!
Любопытное повреждение заменителя мозга...
;-)
Думаю, Azul делает лучшие форки версий Java на сегодняшний момент. Выбирал долго и выбрал Azul. Желаю ее бизнесу успеха.
Некоторое время назад сборки "самой лучшей" "отечественной" Liberica стали недоступны местным пользователям.
Понимаю.
Не хотел про нее, но раз упомянули. Сначала тоже использовал. Потом снес и забыл. Не очень хорошая тенденция, когда на бизнес начинают влиять иные обстоятельства.
вызваны
- целочисленным переполнением
- некорректным использованием блокировок
- переполнением буфера
позволяет привилегированному пользователю гостевой системы выполнить код на уровне гипервизоразашибись качество продукта...
А чего ты ожидал от "libxml2 и libxslt" ?
Это как строить замок на фундаменте из грязи и веток.
К сожалению практика пока слишком распространенная((
А по теме то есть что сказать, предложить ?
Переписать всё на Rust ?
> Переписать всё на Rust ?Ну и ? Вперед переписывать, а не языком молоть, а то все умные, а вот переписывателей мало
> Переписать всё на Rust ?НАЧАТЬ переписывать же ж!
(и попробуй вот найди уязвимость в README.md !)
Угадай язык по CVE?
Английский
>Мы устранили 7 уязвимостей в обновлении VirtualBox 7.1.12
>... и внесли несколько новых, которые мы устраним в следующем обновлении.И каждое следующее обновление глючнее предыдущего.
Сизифов труд. Бесконечный бег в колесе, блин.
И чо?
Типа в реальной жизни не так же?
Хочу тоже испортить мнение о надёжности Java:
https://www.tadviser.ru/index.php/Статья:ESIM_%28Embedded_SIM%29_Электронная_сим-карта#.2A2025:_.D0.98.D0.B7-.D0.B7.D0.B0_.D0.B4.D1.8B.D1.80.D1.8B_.D0.B2_Java_.D1.85.D0.B0.D0.BA.D0.B5.D1.80.D1.8B_.D1.83.D0.B4.D0.B0.D0.BB.D0.B5.D0.BD.D0.BD.D0.BE_.D0.B2.D0.B7.D0.BB.D0.B0.D0.BC.D1.8B.D0.B2.D0.B0.D1.8E.D1.82_eSIM_.D0.BF.D0.BE_.D0.B2.D1.81.D0.B5.D0.BC.D1.83_.D0.BC.D0.B8.D1.80.D1.83" Уязвимость основана на недостатках в реализации версии Java-платформы — Java Card, используемой во многих современных SIM-чипах. Эти проблемы были впервые обнаружены ещё в 2019 году, однако тогда их значимость была недооценена как Oracle, так и производителями SIM-карт. В ходе нового исследования специалисты AG Security Research показали, что с помощью этих уязвимостей можно не только клонировать eSIM, но и перехватывать звонки и сообщения, а также создавать скрытые бэкдоры, которые невозможно обнаружить стандартными средствами. "
>4.17, Аноним (17), 13:56, 16/07/2025
>
>Переписать всё на Rust ?https://nvd.nist.gov/vuln/detail/CVE-2025-24898
" CVE-2025-24898
Уязвимость функции ssl::select_next_proto пакета rust-openssl связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить информацию о содержимом памяти или вызвать сбой сервера. "
Только Аноним забыл сказать, что это биндинги к OpenSSL. И проблема возникает на границе взаимодействия раста с дыряшечным кодом. Очевидно, что когда начинаешь играть по дыряшечным правилам - вручную выделять/освобождать буфера, низкоуровнего работать с "где-то там" выделенными буферами, вычислять индексы/смещения в них и "надеяться на соседа", что он всё правильно подчистит - то можно и запутаться и придёт беда. Вот как эта. По твоей ссылке:"...rust-openssl is a set of OpenSSL bindings for the Rust programming language. In affected versions `ssl::select_next_proto` can return a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument. In situations where the `sever` buffer's lifetime is shorter than the `client` buffer's, this can cause a use after free..."
П.С. Аноним, как всегда, пытаясь в очередной раз "утопить раст", лишь подтверждает его крутость и необходимость (ну, чтобы меньше взаимодействовать с дыряшечкой).
> Только Аноним забыл сказать, что это биндинги к OpenSSL.Да и так все знают что своего SSL способного заменить наш - у вас нет. И не будет! :-р
У вас вообще ничего нет :) А да - ripreg который при той же скорости (в лучшем случае) умеет 1% от ag (в лучшем случае) - но хотябы сделан, а не "начали переписывать" :-р> П.С. Аноним, как всегда, пытаясь в очередной раз "утопить раст",
Зачем? Он и так на дне - смотри свежий TIOBE, ваше место у (С) ... межу Scratch и ассемблером :-p
> лишь подтверждает его крутость и необходимость (ну, чтобы меньше взаимодействовать с дыряшечкой).
bla-bla-bala - утомили вы этой нудятиной, лузеры. Софт на Си\С++ - не идеален, но он _есть_ и _работает_. Дыры находят, фиксят, делают новые, короче - _жизнь!_ :)
А вашего софта нет ... и не будет! ТЧК.
> У вас вообще ничего нет
> А вашего софта нет ... и не будет! ТЧКbla-bla-bala - утомили вы этой нудятиной, лузеры. Ничего нового, хотя вас раз за разом макают мордой в примеры, но вы необучаемы. Вот только про ripreg что-то вякнул. Спроси у гула, мс, клаудфлари, у торовцев, у всех этих лузеров, чего это они отказываются от этого вашего искрящегося жизнью дыродела в пользу раста. Даже Линус слегка прогибается. А, ну да, для тебя код раста в андроиде и что-то там клаудфларевское - нинужно, тебе ведь только винамп на расте нужен, а остальное - "нищитово" или "да это хелловрот какой-то, я такой за выходные напишу". Утомили, пейсатели дырок.
> In affected versions `ssl::select_next_proto` can return a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument.Косяк на стороне раста, кто-то неверно проставил лайфтаймы в декларации функции-обёртки.
- pub fn select_next_proto<'a>(server: &[u8], client: &'a [u8]) -> Option<&'a [u8]> {
+ pub fn select_next_proto<'a>(server: &'a [u8], client: &'a [u8]) -> Option<&'a [u8]> {Можно конечно повонять про то, что грабли были положены на стороне C: это ведь один из распространённых способов получить use-after-free в C, не поняв что из себя представляет указатель. Надо внимательно читать документацию, но я отмечу, что документация не всегда в таких случаях помогает, иногда приходится лезть в сорцы и разбираться там, что за указатель тебе отдаёт функция.
Повонять можно, но если уж взялся писать растовую обёртку, то напрягись и разберись со всеми этими нюансами, иначе какой смысл в этих обёртках?
> Надо внимательно читать документациюКернигана-Ритчи. Наизусть.
Во-первых, Керниган с Ритчи устарели безбожно, во-вторых там не написано, что за указатель возвращает эта функция. Это ты можешь выяснить только чтением сорцов. Иногда можно включить консерватизм, и считать что указатель может быть куда угодно, и избавляться от него прямо сразу, в данном случае, например, отпарсить строку и заменить значением enum'а. Но в общем случае и это не вариант, потому что строка может быть выделенной из кучи, и правильным способом завершения работы с ней будет free. Так что рыть документацию, а когда там не найдёшь ответа -- сорцы. А К&R можно использовать вместо туалетной бумаги, он бесполезен.
> А К&R можно использовать вместо туалетной бумаги, он бесполезен.Как и раст не самой последней ночной сборки :-Р :)
> и считать что указатель может быть куда угодно, и избавляться от него прямо сразу, в данном случае, например, отпарсить строку и заменить значением enum'а. Но в общем случае и это не вариант, потому что строка может быть выделенной из кучи, и правильным способом завершения работы с ней будет free.Что это было? Не иначе ИИ шутит.
> - pub fn select_next_proto<'a>(server: &[u8], client: &'a [u8]) -> Option<&'a [u8]> {Такое из текста программы? :((