The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle"  +/
Сообщение от opennews (??), 16-Июл-25, 09:08 
Компания Oracle опубликовала  плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении устранено 309 уязвимостей...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63583

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +3 +/
Сообщение от Аноним (1), 16-Июл-25, 09:08 
>В Solaris в июльском отчёте уязвимостей не отмечено.

Самая безопасная система!

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Прохожий (??), 16-Июл-25, 09:34 
> 8u461.

У Zulu уже версия 8.0.462 раздается.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от eugener (ok), 16-Июл-25, 09:46 
У java давно так, выходит билд xx1 только с фиксами безопасности и xx2 с фиксами безопасности и другими изменениями.

У этих azul zulu только самому пакеты качать, нет репы как у adoptium temurin?

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Прохожий (??), 16-Июл-25, 12:36 
Я скачиваю время от времени. Автоматическое обновление в принципе может делать OpenWebStart, но я запретил. К 8-ке "привязан" из-за специфики прикладного ПО.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Анониматор (?), 16-Июл-25, 14:13 
Закопали бы уже эту стюардессу. Те корпораты кому 8-ка нужна заплатили и сидят на Oracle, а не на клонах опенджавы.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

25. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от _ (??), 16-Июл-25, 17:06 
Как то, что "кто то там, далеко" пилит - мешает жЫть лично тебе?!?!
Любопытное повреждение заменителя мозга...
;-)
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Аноним (32), 16-Июл-25, 19:54 
Думаю, Azul делает лучшие форки версий Java на сегодняшний момент. Выбирал долго и выбрал Azul. Желаю ее бизнесу  успеха.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

33. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Аноним (33), 16-Июл-25, 20:49 
Некоторое время назад сборки "самой лучшей" "отечественной" Liberica стали недоступны местным пользователям.
Понимаю.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Аноним (32), 16-Июл-25, 22:09 
Не хотел про нее, но раз упомянули. Сначала тоже использовал. Потом снес и забыл. Не очень хорошая тенденция, когда на бизнес начинают влиять иные обстоятельства.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +2 +/
Сообщение от Аноним (-), 16-Июл-25, 11:14 
вызваны
- целочисленным переполнением
- некорректным использованием блокировок
- переполнением буфера
позволяет привилегированному пользователю гостевой системы выполнить код на уровне гипервизора

зашибись качество продукта...

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  –1 +/
Сообщение от Аноним (-), 16-Июл-25, 11:49 
А чего ты ожидал от "libxml2 и libxslt" ?
Это как строить замок на фундаменте из грязи и веток.
К сожалению практика пока слишком распространенная((
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от OpenEcho (?), 16-Июл-25, 12:34 
А по теме то есть что сказать, предложить ?
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +1 +/
Сообщение от Аноним (17), 16-Июл-25, 13:56 
Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором  +/
Сообщение от OpenEcho (?), 16-Июл-25, 18:29 
Ответить | Правка | Наверх | Cообщить модератору

36. Скрыто модератором  +/
Сообщение от нах. (?), 16-Июл-25, 22:47 
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

15. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +1 +/
Сообщение от Аноним (15), 16-Июл-25, 13:01 
Угадай язык по CVE?
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

21. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +8 +/
Сообщение от Аноним (21), 16-Июл-25, 14:29 
Английский
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от epw (?), 16-Июл-25, 13:12 
>Мы устранили 7 уязвимостей в обновлении VirtualBox 7.1.12
>... и внесли несколько новых, которые мы устраним в следующем обновлении.

И каждое следующее обновление глючнее предыдущего.

Сизифов труд. Бесконечный бег в колесе, блин.

Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором  +/
Сообщение от _ (??), 16-Июл-25, 17:25 
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Аноним (22), 16-Июл-25, 15:19 
Хочу тоже испортить мнение о надёжности Java:
https://www.tadviser.ru/index.php/Статья:ESIM_%28Embedded_SIM%29_Электронная_сим-карта#.2A2025:_.D0.98.D0.B7-.D0.B7.D0.B0_.D0.B4.D1.8B.D1.80.D1.8B_.D0.B2_Java_.D1.85.D0.B0.D0.BA.D0.B5.D1.80.D1.8B_.D1.83.D0.B4.D0.B0.D0.BB.D0.B5.D0.BD.D0.BD.D0.BE_.D0.B2.D0.B7.D0.BB.D0.B0.D0.BC.D1.8B.D0.B2.D0.B0.D1.8E.D1.82_eSIM_.D0.BF.D0.BE_.D0.B2.D1.81.D0.B5.D0.BC.D1.83_.D0.BC.D0.B8.D1.80.D1.83

" Уязвимость основана на недостатках в реализации версии Java-платформы — Java Card, используемой во многих современных SIM-чипах. Эти проблемы были впервые обнаружены ещё в 2019 году, однако тогда их значимость была недооценена как Oracle, так и производителями SIM-карт. В ходе нового исследования специалисты AG Security Research показали, что с помощью этих уязвимостей можно не только клонировать eSIM, но и перехватывать звонки и сообщения, а также создавать скрытые бэкдоры, которые невозможно обнаружить стандартными средствами. "

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Аноним (22), 16-Июл-25, 15:26 
>4.17, Аноним (17), 13:56, 16/07/2025
>
>Переписать всё на Rust ?

https://nvd.nist.gov/vuln/detail/CVE-2025-24898

" CVE-2025-24898
Уязвимость функции ssl::select_next_proto пакета rust-openssl связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить информацию о содержимом памяти или вызвать сбой сервера. "

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  –2 +/
Сообщение от Аноним (24), 16-Июл-25, 15:56 
Только Аноним забыл сказать, что это биндинги к OpenSSL. И проблема возникает на границе взаимодействия раста с дыряшечным кодом. Очевидно, что когда начинаешь играть по дыряшечным правилам - вручную выделять/освобождать буфера, низкоуровнего работать с "где-то там" выделенными буферами, вычислять индексы/смещения в них и "надеяться на соседа", что он всё правильно подчистит - то можно и запутаться и придёт беда. Вот как эта. По твоей ссылке:

"...rust-openssl is a set of OpenSSL bindings for the Rust programming language. In affected versions `ssl::select_next_proto` can return a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument. In situations where the `sever` buffer's lifetime is shorter than the `client` buffer's, this can cause a use after free..."

П.С. Аноним, как всегда, пытаясь в очередной раз "утопить раст", лишь подтверждает его крутость и необходимость (ну, чтобы меньше взаимодействовать с дыряшечкой).

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  –1 +/
Сообщение от _ (??), 16-Июл-25, 17:35 
> Только Аноним забыл сказать, что это биндинги к OpenSSL.

Да и так все знают что своего SSL способного заменить наш - у вас нет. И не будет! :-р
У вас вообще ничего нет :) А да - ripreg который при той же скорости (в лучшем случае) умеет 1% от ag (в лучшем случае) - но хотябы сделан, а не "начали переписывать" :-р

> П.С. Аноним, как всегда, пытаясь в очередной раз "утопить раст",

Зачем? Он и так на дне - смотри свежий TIOBE, ваше место у (С) ... межу Scratch и ассемблером :-p

> лишь подтверждает его крутость и необходимость (ну, чтобы меньше взаимодействовать с дыряшечкой).

bla-bla-bala - утомили вы этой нудятиной, лузеры. Софт на Си\С++ - не идеален, но он _есть_ и _работает_. Дыры находят, фиксят, делают новые, короче - _жизнь!_ :)
А вашего софта нет ... и не будет! ТЧК.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Аноним (24), 16-Июл-25, 18:01 
> У вас вообще ничего нет
> А вашего софта нет ... и не будет! ТЧК

bla-bla-bala - утомили вы этой нудятиной, лузеры. Ничего нового, хотя вас раз за разом макают мордой в примеры, но вы необучаемы. Вот только про ripreg что-то вякнул. Спроси у гула, мс, клаудфлари, у торовцев, у всех этих лузеров, чего это они отказываются от этого вашего искрящегося жизнью дыродела в пользу раста. Даже Линус слегка прогибается. А, ну да, для тебя код раста в андроиде и что-то там клаудфларевское - нинужно, тебе ведь только винамп на расте нужен, а остальное - "нищитово" или "да это хелловрот какой-то, я такой  за выходные напишу". Утомили, пейсатели дырок.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Аноним (-), 16-Июл-25, 18:52 
> In affected versions `ssl::select_next_proto` can return a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument.

Косяк на стороне раста, кто-то неверно проставил лайфтаймы в декларации функции-обёртки.

- pub fn select_next_proto<'a>(server: &[u8], client: &'a [u8]) -> Option<&'a [u8]> {
+ pub fn select_next_proto<'a>(server: &'a [u8], client: &'a [u8]) -> Option<&'a [u8]> {

Можно конечно повонять про то, что грабли были положены на стороне C: это ведь один из распространённых способов получить use-after-free в C, не поняв что из себя представляет указатель. Надо внимательно читать документацию, но я отмечу, что документация не всегда в таких случаях помогает, иногда приходится лезть в сорцы и разбираться там, что за указатель тебе отдаёт функция.

Повонять можно, но если уж взялся писать растовую обёртку, то напрягись и разберись со всеми этими нюансами, иначе какой смысл в этих обёртках?

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

31. "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах O..."  +/
Сообщение от Аноним (32), 16-Июл-25, 19:49 
> Надо внимательно читать документацию

Кернигана-Ритчи. Наизусть.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру