forum.opennet.ru - "Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle" (36)

"Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle"	+/–
Сообщение от opennews (??), 16-Июл-25, 09:08
Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении устранено 309 уязвимостей... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63583
Ответить \| Правка \| Cообщить модератору

Оглавление

Самая безопасная система , Аноним (1), 09:08 , 16-Июл-25, (1) +6

Забронзовела , _ (??), 06:13 , 17-Июл-25, (38) +1
А какие у неё области применения Сервера, офисные машины , Омном (?), 17:28 , 17-Июл-25, (43)

В общем я погуглил, вопрос снят , Омном (?), 17:33 , 17-Июл-25, (44)

У Zulu уже версия 8 0 462 раздается , Прохожий (??), 09:34 , 16-Июл-25, (4)

У java давно так, выходит билд xx1 только с фиксами безопасности и xx2 с фиксами, eugener (ok), 09:46 , 16-Июл-25, (6)

Я скачиваю время от времени Автоматическое обновление в принципе может делать O, Прохожий (??), 12:36 , 16-Июл-25, (13)

Закопали бы уже эту стюардессу Те корпораты кому 8-ка нужна заплатили и сидят н, Анониматор (?), 14:13 , 16-Июл-25, (18) –2

Как то, что кто то там, далеко пилит - мешает жЫть лично тебе Любопытное по, _ (??), 17:06 , 16-Июл-25, (25)
Думаю, Azul делает лучшие форки версий Java на сегодняшний момент Выбирал долго, Аноним (32), 19:54 , 16-Июл-25, (32)

Некоторое время назад сборки самой лучшей отечественной Liberica стали недос, Аноним (33), 20:49 , 16-Июл-25, (33) +1

Не хотел про нее, но раз упомянули Сначала тоже использовал Потом снес и забыл, Аноним (32), 22:09 , 16-Июл-25, (35) +1

вызваны- целочисленным переполнением- некорректным использованием блокировок- пе, Аноним (-), 11:14 , 16-Июл-25, (7) +3

А чего ты ожидал от libxml2 и libxslt Это как строить замок на фундаменте из , Аноним (-), 11:49 , 16-Июл-25, (9) –2

А по теме то есть что сказать, предложить , OpenEcho (?), 12:34 , 16-Июл-25, (11)

Скрыто модератором, Аноним (17), 13:56 , 16-Июл-25, (17) –1

Скрыто модератором, OpenEcho (?), 18:29 , 16-Июл-25, (29) +1
Скрыто модератором, нах. (?), 22:47 , 16-Июл-25, (36)

Угадай язык по CVE , Аноним (15), 13:01 , 16-Июл-25, (15)

Английский, Аноним (21), 14:29 , 16-Июл-25, (21) +13

И каждое следующее обновление глючнее предыдущего Сизифов труд Бесконечный бег , epw (?), 13:12 , 16-Июл-25, (16)

Скрыто модератором, _ (??), 17:25 , 16-Июл-25, (26)

Хочу тоже испортить мнение о надёжности Java https www tadviser ru index php С, Аноним (22), 15:19 , 16-Июл-25, (22)
https nvd nist gov vuln detail CVE-2025-24898 CVE-2025-24898Уязвимость функци, Аноним (22), 15:26 , 16-Июл-25, (23) –1

Только Аноним забыл сказать, что это биндинги к OpenSSL И проблема возникает на, Аноним (24), 15:56 , 16-Июл-25, (24) –1

Да и так все знают что своего SSL способного заменить наш - у вас нет И не буде, _ (??), 17:35 , 16-Июл-25, (27) –1

bla-bla-bala - утомили вы этой нудятиной, лузеры Ничего нового, хотя вас раз за, Аноним (24), 18:01 , 16-Июл-25, (28)

Косяк на стороне раста, кто-то неверно проставил лайфтаймы в декларации функции-, Аноним (-), 18:52 , 16-Июл-25, (30) +2

Кернигана-Ритчи Наизусть , Аноним (32), 19:49 , 16-Июл-25, (31)

Во-первых, Керниган с Ритчи устарели безбожно, во-вторых там не написано, что за, Аноним (-), 05:31 , 17-Июл-25, (37)

Как и раст не самой последней ночной сборки -Р , _ (??), 06:17 , 17-Июл-25, (39)
Что это было Не иначе ИИ шутит , Аноним (40), 07:04 , 17-Июл-25, (40)

Такое из текста программы , Аноним (40), 08:53 , 17-Июл-25, (41)

Вот нейронка пояснила Сигнатура функции pub fn select_next_proto a server a, Аноним (45), 04:14 , 19-Июл-25, (45)

Давайте всё-таки будем точнее, не на стороне Раста как такового, а при реализаци, Аноним (45), 04:56 , 19-Июл-25, (46)

Есть сишный код с сишным компилятором и сишным программистом Это сишная сторона, Аноним (-), 16:12 , 19-Июл-25, (47)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 16-Июл-25, 09:08 +6 +/–

>В Solaris в июльском отчёте уязвимостей не отмечено.
Самая безопасная система!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38, #43

4. Сообщение от Прохожий (??), 16-Июл-25, 09:34 +/–

> 8u461.
У Zulu уже версия 8.0.462 раздается.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #18

6. Сообщение от eugener (ok), 16-Июл-25, 09:46 +/–

У java давно так, выходит билд xx1 только с фиксами безопасности и xx2 с фиксами безопасности и другими изменениями.
У этих azul zulu только самому пакеты качать, нет репы как у adoptium temurin?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #13

7. Сообщение от Аноним (-), 16-Июл-25, 11:14 +3 +/–

вызваны
- целочисленным переполнением
- некорректным использованием блокировок
- переполнением буфера
позволяет привилегированному пользователю гостевой системы выполнить код на уровне гипервизора
зашибись качество продукта...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #15

9. Сообщение от Аноним (-), 16-Июл-25, 11:49 –2 +/–

А чего ты ожидал от "libxml2 и libxslt" ?
Это как строить замок на фундаменте из грязи и веток.
К сожалению практика пока слишком распространенная((

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

11. Сообщение от OpenEcho (?), 16-Июл-25, 12:34 +/–

А по теме то есть что сказать, предложить ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

13. Сообщение от Прохожий (??), 16-Июл-25, 12:36 +/–

Я скачиваю время от времени. Автоматическое обновление в принципе может делать OpenWebStart, но я запретил. К 8-ке "привязан" из-за специфики прикладного ПО.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

15. Сообщение от Аноним (15), 16-Июл-25, 13:01 +/–

Угадай язык по CVE?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #21

16. Сообщение от epw (?), 16-Июл-25, 13:12 +/–

>Мы устранили 7 уязвимостей в обновлении VirtualBox 7.1.12
>... и внесли несколько новых, которые мы устраним в следующем обновлении.
И каждое следующее обновление глючнее предыдущего.
Сизифов труд. Бесконечный бег в колесе, блин.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

17. Сообщение от Аноним (17), 16-Июл-25, 13:56 Скрыто ботом-модератором –1 +/–

Переписать всё на Rust ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #29, #36

18. Сообщение от Анониматор (?), 16-Июл-25, 14:13 –2 +/–

Закопали бы уже эту стюардессу. Те корпораты кому 8-ка нужна заплатили и сидят на Oracle, а не на клонах опенджавы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #25, #32

21. Сообщение от Аноним (21), 16-Июл-25, 14:29 +13 +/–

Английский

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (22), 16-Июл-25, 15:19 +/–

Хочу тоже испортить мнение о надёжности Java:
https://www.tadviser.ru/index.php/Статья:ESIM_%28Embedded_SIM%29_Электронная_сим-карта#.2A2025:_.D0.98.D0.B7-.D0.B7.D0.B0_.D0.B4.D1.8B.D1.80.D1.8B_.D0.B2_Java_.D1.85.D0.B0.D0.BA.D0.B5.D1.80.D1.8B_.D1.83.D0.B4.D0.B0.D0.BB.D0.B5.D0.BD.D0.BD.D0.BE_.D0.B2.D0.B7.D0.BB.D0.B0.D0.BC.D1.8B.D0.B2.D0.B0.D1.8E.D1.82_eSIM_.D0.BF.D0.BE_.D0.B2.D1.81.D0.B5.D0.BC.D1.83_.D0.BC.D0.B8.D1.80.D1.83
" Уязвимость основана на недостатках в реализации версии Java-платформы — Java Card, используемой во многих современных SIM-чипах. Эти проблемы были впервые обнаружены ещё в 2019 году, однако тогда их значимость была недооценена как Oracle, так и производителями SIM-карт. В ходе нового исследования специалисты AG Security Research показали, что с помощью этих уязвимостей можно не только клонировать eSIM, но и перехватывать звонки и сообщения, а также создавать скрытые бэкдоры, которые невозможно обнаружить стандартными средствами. "

Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Аноним (22), 16-Июл-25, 15:26 –1 +/–

>4.17, Аноним (17), 13:56, 16/07/2025
>
>Переписать всё на Rust ?
https://nvd.nist.gov/vuln/detail/CVE-2025-24898
" CVE-2025-24898
Уязвимость функции ssl::select_next_proto пакета rust-openssl связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить информацию о содержимом памяти или вызвать сбой сервера. "

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

24. Сообщение от Аноним (24), 16-Июл-25, 15:56 –1 +/–

Только Аноним забыл сказать, что это биндинги к OpenSSL. И проблема возникает на границе взаимодействия раста с дыряшечным кодом. Очевидно, что когда начинаешь играть по дыряшечным правилам - вручную выделять/освобождать буфера, низкоуровнего работать с "где-то там" выделенными буферами, вычислять индексы/смещения в них и "надеяться на соседа", что он всё правильно подчистит - то можно и запутаться и придёт беда. Вот как эта. По твоей ссылке:
"...rust-openssl is a set of OpenSSL bindings for the Rust programming language. In affected versions `ssl::select_next_proto` can return a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument. In situations where the `sever` buffer's lifetime is shorter than the `client` buffer's, this can cause a use after free..."
П.С. Аноним, как всегда, пытаясь в очередной раз "утопить раст", лишь подтверждает его крутость и необходимость (ну, чтобы меньше взаимодействовать с дыряшечкой).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #27, #30

25. Сообщение от _ (??), 16-Июл-25, 17:06 +/–

Как то, что "кто то там, далеко" пилит - мешает жЫть лично тебе?!?!
Любопытное повреждение заменителя мозга...
;-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от _ (??), 16-Июл-25, 17:25 Скрыто ботом-модератором +/–

И чо?
Типа в реальной жизни не так же?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

27. Сообщение от _ (??), 16-Июл-25, 17:35 –1 +/–

> Только Аноним забыл сказать, что это биндинги к OpenSSL.
Да и так все знают что своего SSL способного заменить наш - у вас нет. И не будет! :-р
У вас вообще ничего нет :) А да - ripreg который при той же скорости (в лучшем случае) умеет 1% от ag (в лучшем случае) - но хотябы сделан, а не "начали переписывать" :-р
> П.С. Аноним, как всегда, пытаясь в очередной раз "утопить раст",
Зачем? Он и так на дне - смотри свежий TIOBE, ваше место у (С) ... межу Scratch и ассемблером :-p
> лишь подтверждает его крутость и необходимость (ну, чтобы меньше взаимодействовать с дыряшечкой).
bla-bla-bala - утомили вы этой нудятиной, лузеры. Софт на Си\С++ - не идеален, но он _есть_ и _работает_. Дыры находят, фиксят, делают новые, короче - _жизнь!_ :)
А вашего софта нет ... и не будет! ТЧК.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #28

28. Сообщение от Аноним (24), 16-Июл-25, 18:01 +/–

> У вас вообще ничего нет
> А вашего софта нет ... и не будет! ТЧК
bla-bla-bala - утомили вы этой нудятиной, лузеры. Ничего нового, хотя вас раз за разом макают мордой в примеры, но вы необучаемы. Вот только про ripreg что-то вякнул. Спроси у гула, мс, клаудфлари, у торовцев, у всех этих лузеров, чего это они отказываются от этого вашего искрящегося жизнью дыродела в пользу раста. Даже Линус слегка прогибается. А, ну да, для тебя код раста в андроиде и что-то там клаудфларевское - нинужно, тебе ведь только винамп на расте нужен, а остальное - "нищитово" или "да это хелловрот какой-то, я такой за выходные напишу". Утомили, пейсатели дырок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

29. Сообщение от OpenEcho (?), 16-Июл-25, 18:29 +1 +/–

> Переписать всё на Rust ?
Ну и ? Вперед переписывать, а не языком молоть, а то все умные, а вот переписывателей мало

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

30. Сообщение от Аноним (-), 16-Июл-25, 18:52 +2 +/–

> In affected versions `ssl::select_next_proto` can return a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument.
Косяк на стороне раста, кто-то неверно проставил лайфтаймы в декларации функции-обёртки.
- pub fn select_next_proto<'a>(server: &[u8], client: &'a [u8]) -> Option<&'a [u8]> {
+ pub fn select_next_proto<'a>(server: &'a [u8], client: &'a [u8]) -> Option<&'a [u8]> {
Можно конечно повонять про то, что грабли были положены на стороне C: это ведь один из распространённых способов получить use-after-free в C, не поняв что из себя представляет указатель. Надо внимательно читать документацию, но я отмечу, что документация не всегда в таких случаях помогает, иногда приходится лезть в сорцы и разбираться там, что за указатель тебе отдаёт функция.
Повонять можно, но если уж взялся писать растовую обёртку, то напрягись и разберись со всеми этими нюансами, иначе какой смысл в этих обёртках?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #31, #41, #46

31. Сообщение от Аноним (32), 16-Июл-25, 19:49 +/–

> Надо внимательно читать документацию
Кернигана-Ритчи. Наизусть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #37

32. Сообщение от Аноним (32), 16-Июл-25, 19:54 +/–

Думаю, Azul делает лучшие форки версий Java на сегодняшний момент. Выбирал долго и выбрал Azul. Желаю ее бизнесу успеха.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #33

33. Сообщение от Аноним (33), 16-Июл-25, 20:49 +1 +/–

Некоторое время назад сборки "самой лучшей" "отечественной" Liberica стали недоступны местным пользователям.
Понимаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #35

35. Сообщение от Аноним (32), 16-Июл-25, 22:09 +1 +/–

Не хотел про нее, но раз упомянули. Сначала тоже использовал. Потом снес и забыл. Не очень хорошая тенденция, когда на бизнес начинают влиять иные обстоятельства.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

36. Сообщение от нах. (?), 16-Июл-25, 22:47 +/–

> Переписать всё на Rust ?
НАЧАТЬ переписывать же ж!
(и попробуй вот найди уязвимость в README.md !)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

37. Сообщение от Аноним (-), 17-Июл-25, 05:31 +/–

Во-первых, Керниган с Ритчи устарели безбожно, во-вторых там не написано, что за указатель возвращает эта функция. Это ты можешь выяснить только чтением сорцов. Иногда можно включить консерватизм, и считать что указатель может быть куда угодно, и избавляться от него прямо сразу, в данном случае, например, отпарсить строку и заменить значением enum'а. Но в общем случае и это не вариант, потому что строка может быть выделенной из кучи, и правильным способом завершения работы с ней будет free. Так что рыть документацию, а когда там не найдёшь ответа -- сорцы. А К&R можно использовать вместо туалетной бумаги, он бесполезен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #39, #40

38. Сообщение от _ (??), 17-Июл-25, 06:13 +1 +/–

Забронзовела...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

39. Сообщение от _ (??), 17-Июл-25, 06:17 +/–

> А К&R можно использовать вместо туалетной бумаги, он бесполезен.
Как и раст не самой последней ночной сборки :-Р :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

40. Сообщение от Аноним (40), 17-Июл-25, 07:04 +/–

> и считать что указатель может быть куда угодно, и избавляться от него прямо сразу, в данном случае, например, отпарсить строку и заменить значением enum'а. Но в общем случае и это не вариант, потому что строка может быть выделенной из кучи, и правильным способом завершения работы с ней будет free.
Что это было? Не иначе ИИ шутит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

41. Сообщение от Аноним (40), 17-Июл-25, 08:53 +/–

> - pub fn select_next_proto<'a>(server: &[u8], client: &'a [u8]) -> Option<&'a [u8]> {
Такое из текста программы? :((

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #45

43. Сообщение от Омном (?), 17-Июл-25, 17:28 +/–

А какие у неё области применения? Сервера, офисные машины?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #44

44. Сообщение от Омном (?), 17-Июл-25, 17:33 +/–

В общем я погуглил, вопрос снят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

45. Сообщение от Аноним (45), 19-Июл-25, 04:14 +/–

Вот нейронка пояснила:
Сигнатура функции:
pub fn select_next_proto<'a>(server: &'a [u8], client: &'a [u8]) -> Option<&'a [u8]>
Семантика на русском:
Общедоступная функция select_next_proto, принимающая два аргумента:
server — неизменяемую ссылку на байтовый срез (тип &[u8]), представляющий протоколы сервера.
client — неизменяемую ссылку на байтовый срез (тип &[u8]), представляющий протоколы клиента.
Оба аргумента имеют одинаковое время жизни 'a, гарантирующее, что возвращаемое значение не переживёт исходные данные.
Функция возвращает:
Some(&[u8]) — ссылку на выбранный протокол (байтовый срез) в случае успеха,
None — если подходящий протокол не найден.
Возвращаемое значение заимствует данные из одного из входных срезов и наследует время жизни 'a.
--
А ты теперь поясните, как это должно выглядеть в вашем воображаемом ЯП, который лучше чем Rust?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

46. Сообщение от Аноним (45), 19-Июл-25, 04:56 +/–

>Косяк на стороне раста, кто-то неверно проставил лайфтаймы в декларации функции-обёртки.
Давайте всё-таки будем точнее, не на стороне Раста как такового, а при реализации программистом FFI. Что в Rust является unsafe-операцией и требует повышенного внимания к исполнению.
Я это просто уточняю чтобы избежать попыток натянуть невнимательность программиста с unsafe на якобы косяки ЯП. У раста есть косяки, и они другие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #47

47. Сообщение от Аноним (-), 19-Июл-25, 16:12 +/–

> Давайте всё-таки будем точнее, не на стороне Раста как такового, а при реализации программистом FFI.
Есть сишный код с сишным компилятором и сишным программистом. Это сишная сторона. Есть ещё растовая сторона со схожими составляющими. Вот именно на растовой стороне эта проблема и образовалась.
> Я это просто уточняю чтобы избежать попыток натянуть невнимательность программиста с unsafe на якобы косяки ЯП.
Я же просто уточняю, чтобы избежать попыток свалить проблемы с растовой стороны на сишную.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 16-Июл-25, 09:08	+6 +/–
>В Solaris в июльском отчёте уязвимостей не отмечено. Самая безопасная система!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #38, #43

4. Сообщение от Прохожий (??), 16-Июл-25, 09:34	+/–
> 8u461. У Zulu уже версия 8.0.462 раздается.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #18

6. Сообщение от eugener (ok), 16-Июл-25, 09:46	+/–
У java давно так, выходит билд xx1 только с фиксами безопасности и xx2 с фиксами безопасности и другими изменениями. У этих azul zulu только самому пакеты качать, нет репы как у adoptium temurin?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #13

7. Сообщение от Аноним (-), 16-Июл-25, 11:14	+3 +/–
вызваны - целочисленным переполнением - некорректным использованием блокировок - переполнением буфера позволяет привилегированному пользователю гостевой системы выполнить код на уровне гипервизора зашибись качество продукта...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #15

9. Сообщение от Аноним (-), 16-Июл-25, 11:49	–2 +/–
А чего ты ожидал от "libxml2 и libxslt" ? Это как строить замок на фундаменте из грязи и веток. К сожалению практика пока слишком распространенная((
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #11

11. Сообщение от OpenEcho (?), 16-Июл-25, 12:34	+/–
А по теме то есть что сказать, предложить ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #17

13. Сообщение от Прохожий (??), 16-Июл-25, 12:36	+/–
Я скачиваю время от времени. Автоматическое обновление в принципе может делать OpenWebStart, но я запретил. К 8-ке "привязан" из-за специфики прикладного ПО.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

15. Сообщение от Аноним (15), 16-Июл-25, 13:01	+/–
Угадай язык по CVE?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #21

16. Сообщение от epw (?), 16-Июл-25, 13:12	+/–
>Мы устранили 7 уязвимостей в обновлении VirtualBox 7.1.12 >... и внесли несколько новых, которые мы устраним в следующем обновлении. И каждое следующее обновление глючнее предыдущего. Сизифов труд. Бесконечный бег в колесе, блин.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26

17. Сообщение от Аноним (17), 16-Июл-25, 13:56 Скрыто ботом-модератором	–1 +/–
Переписать всё на Rust ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #29, #36

18. Сообщение от Анониматор (?), 16-Июл-25, 14:13	–2 +/–
Закопали бы уже эту стюардессу. Те корпораты кому 8-ка нужна заплатили и сидят на Oracle, а не на клонах опенджавы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #25, #32

21. Сообщение от Аноним (21), 16-Июл-25, 14:29	+13 +/–
Английский
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

22. Сообщение от Аноним (22), 16-Июл-25, 15:19	+/–
Хочу тоже испортить мнение о надёжности Java: https://www.tadviser.ru/index.php/Статья:ESIM_%28Embedded_SIM%29_Электронная_сим-карта#.2A2025:_.D0.98.D0.B7-.D0.B7.D0.B0_.D0.B4.D1.8B.D1.80.D1.8B_.D0.B2_Java_.D1.85.D0.B0.D0.BA.D0.B5.D1.80.D1.8B_.D1.83.D0.B4.D0.B0.D0.BB.D0.B5.D0.BD.D0.BD.D0.BE_.D0.B2.D0.B7.D0.BB.D0.B0.D0.BC.D1.8B.D0.B2.D0.B0.D1.8E.D1.82_eSIM_.D0.BF.D0.BE_.D0.B2.D1.81.D0.B5.D0.BC.D1.83_.D0.BC.D0.B8.D1.80.D1.83 " Уязвимость основана на недостатках в реализации версии Java-платформы — Java Card, используемой во многих современных SIM-чипах. Эти проблемы были впервые обнаружены ещё в 2019 году, однако тогда их значимость была недооценена как Oracle, так и производителями SIM-карт. В ходе нового исследования специалисты AG Security Research показали, что с помощью этих уязвимостей можно не только клонировать eSIM, но и перехватывать звонки и сообщения, а также создавать скрытые бэкдоры, которые невозможно обнаружить стандартными средствами. "
Ответить \| Правка \| Наверх \| Cообщить модератору

23. Сообщение от Аноним (22), 16-Июл-25, 15:26	–1 +/–
>4.17, Аноним (17), 13:56, 16/07/2025 > >Переписать всё на Rust ? https://nvd.nist.gov/vuln/detail/CVE-2025-24898 " CVE-2025-24898 Уязвимость функции ssl::select_next_proto пакета rust-openssl связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить информацию о содержимом памяти или вызвать сбой сервера. "
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24

24. Сообщение от Аноним (24), 16-Июл-25, 15:56	–1 +/–
Только Аноним забыл сказать, что это биндинги к OpenSSL. И проблема возникает на границе взаимодействия раста с дыряшечным кодом. Очевидно, что когда начинаешь играть по дыряшечным правилам - вручную выделять/освобождать буфера, низкоуровнего работать с "где-то там" выделенными буферами, вычислять индексы/смещения в них и "надеяться на соседа", что он всё правильно подчистит - то можно и запутаться и придёт беда. Вот как эта. По твоей ссылке: "...rust-openssl is a set of OpenSSL bindings for the Rust programming language. In affected versions `ssl::select_next_proto` can return a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument. In situations where the `sever` buffer's lifetime is shorter than the `client` buffer's, this can cause a use after free..." П.С. Аноним, как всегда, пытаясь в очередной раз "утопить раст", лишь подтверждает его крутость и необходимость (ну, чтобы меньше взаимодействовать с дыряшечкой).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #27, #30

25. Сообщение от _ (??), 16-Июл-25, 17:06	+/–
Как то, что "кто то там, далеко" пилит - мешает жЫть лично тебе?!?! Любопытное повреждение заменителя мозга... ;-)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

26. Сообщение от _ (??), 16-Июл-25, 17:25 Скрыто ботом-модератором	+/–
И чо? Типа в реальной жизни не так же?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

27. Сообщение от _ (??), 16-Июл-25, 17:35	–1 +/–
> Только Аноним забыл сказать, что это биндинги к OpenSSL. Да и так все знают что своего SSL способного заменить наш - у вас нет. И не будет! :-р У вас вообще ничего нет :) А да - ripreg который при той же скорости (в лучшем случае) умеет 1% от ag (в лучшем случае) - но хотябы сделан, а не "начали переписывать" :-р > П.С. Аноним, как всегда, пытаясь в очередной раз "утопить раст", Зачем? Он и так на дне - смотри свежий TIOBE, ваше место у (С) ... межу Scratch и ассемблером :-p > лишь подтверждает его крутость и необходимость (ну, чтобы меньше взаимодействовать с дыряшечкой). bla-bla-bala - утомили вы этой нудятиной, лузеры. Софт на Си\С++ - не идеален, но он _есть_ и _работает_. Дыры находят, фиксят, делают новые, короче - _жизнь!_ :) А вашего софта нет ... и не будет! ТЧК.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #28

28. Сообщение от Аноним (24), 16-Июл-25, 18:01	+/–
> У вас вообще ничего нет > А вашего софта нет ... и не будет! ТЧК bla-bla-bala - утомили вы этой нудятиной, лузеры. Ничего нового, хотя вас раз за разом макают мордой в примеры, но вы необучаемы. Вот только про ripreg что-то вякнул. Спроси у гула, мс, клаудфлари, у торовцев, у всех этих лузеров, чего это они отказываются от этого вашего искрящегося жизнью дыродела в пользу раста. Даже Линус слегка прогибается. А, ну да, для тебя код раста в андроиде и что-то там клаудфларевское - нинужно, тебе ведь только винамп на расте нужен, а остальное - "нищитово" или "да это хелловрот какой-то, я такой за выходные напишу". Утомили, пейсатели дырок.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27

29. Сообщение от OpenEcho (?), 16-Июл-25, 18:29	+1 +/–
> Переписать всё на Rust ? Ну и ? Вперед переписывать, а не языком молоть, а то все умные, а вот переписывателей мало
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

30. Сообщение от Аноним (-), 16-Июл-25, 18:52	+2 +/–
> In affected versions `ssl::select_next_proto` can return a slice pointing into the `server` argument's buffer but with a lifetime bound to the `client` argument. Косяк на стороне раста, кто-то неверно проставил лайфтаймы в декларации функции-обёртки. - pub fn select_next_proto<'a>(server: &[u8], client: &'a [u8]) -> Option<&'a [u8]> { + pub fn select_next_proto<'a>(server: &'a [u8], client: &'a [u8]) -> Option<&'a [u8]> { Можно конечно повонять про то, что грабли были положены на стороне C: это ведь один из распространённых способов получить use-after-free в C, не поняв что из себя представляет указатель. Надо внимательно читать документацию, но я отмечу, что документация не всегда в таких случаях помогает, иногда приходится лезть в сорцы и разбираться там, что за указатель тебе отдаёт функция. Повонять можно, но если уж взялся писать растовую обёртку, то напрягись и разберись со всеми этими нюансами, иначе какой смысл в этих обёртках?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #31, #41, #46

31. Сообщение от Аноним (32), 16-Июл-25, 19:49	+/–
> Надо внимательно читать документацию Кернигана-Ритчи. Наизусть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #37

32. Сообщение от Аноним (32), 16-Июл-25, 19:54	+/–
Думаю, Azul делает лучшие форки версий Java на сегодняшний момент. Выбирал долго и выбрал Azul. Желаю ее бизнесу успеха.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #33

33. Сообщение от Аноним (33), 16-Июл-25, 20:49	+1 +/–
Некоторое время назад сборки "самой лучшей" "отечественной" Liberica стали недоступны местным пользователям. Понимаю.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32 Ответы: #35

35. Сообщение от Аноним (32), 16-Июл-25, 22:09	+1 +/–
Не хотел про нее, но раз упомянули. Сначала тоже использовал. Потом снес и забыл. Не очень хорошая тенденция, когда на бизнес начинают влиять иные обстоятельства.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33

36. Сообщение от нах. (?), 16-Июл-25, 22:47	+/–
> Переписать всё на Rust ? НАЧАТЬ переписывать же ж! (и попробуй вот найди уязвимость в README.md !)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

37. Сообщение от Аноним (-), 17-Июл-25, 05:31	+/–
Во-первых, Керниган с Ритчи устарели безбожно, во-вторых там не написано, что за указатель возвращает эта функция. Это ты можешь выяснить только чтением сорцов. Иногда можно включить консерватизм, и считать что указатель может быть куда угодно, и избавляться от него прямо сразу, в данном случае, например, отпарсить строку и заменить значением enum'а. Но в общем случае и это не вариант, потому что строка может быть выделенной из кучи, и правильным способом завершения работы с ней будет free. Так что рыть документацию, а когда там не найдёшь ответа -- сорцы. А К&R можно использовать вместо туалетной бумаги, он бесполезен.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31 Ответы: #39, #40

38. Сообщение от _ (??), 17-Июл-25, 06:13	+1 +/–
Забронзовела...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

39. Сообщение от _ (??), 17-Июл-25, 06:17	+/–
> А К&R можно использовать вместо туалетной бумаги, он бесполезен. Как и раст не самой последней ночной сборки :-Р :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37

40. Сообщение от Аноним (40), 17-Июл-25, 07:04	+/–
> и считать что указатель может быть куда угодно, и избавляться от него прямо сразу, в данном случае, например, отпарсить строку и заменить значением enum'а. Но в общем случае и это не вариант, потому что строка может быть выделенной из кучи, и правильным способом завершения работы с ней будет free. Что это было? Не иначе ИИ шутит.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37