URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127301
[ Назад ]

Исходное сообщение
"Возможность генерации фиктивных подписей ECDSA в Java SE. Уязвимости в MySQL, VirtualBox и Solaris"
Отправлено opennews , 20-Апр-22 10:35

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 520 уязвимостей...
Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57050

Содержание

Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 10:35 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 10:48 , 20-Апр-22
  - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,лютый жабби___, 07:52 , 21-Апр-22
Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,YetAnotherOnanym, 10:37 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 10:47 , 20-Апр-22
  - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,YetAnotherOnanym, 13:04 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 10:54 , 20-Апр-22
  - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 11:43 , 20-Апр-22
    - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 13:53 , 20-Апр-22
    - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 10:11 , 21-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 11:46 , 20-Апр-22
  - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 14:17 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Анонн, 11:51 , 20-Апр-22
  - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,ананим.orig, 12:15 , 20-Апр-22
  - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,YetAnotherOnanym, 13:11 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,ананим.orig, 12:20 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Rev, 12:32 , 20-Апр-22
  - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 16:25 , 20-Апр-22
    - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Алекс, 09:51 , 21-Апр-22
Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Rev, 12:33 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 16:23 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Kuromi, 22:36 , 20-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 00:27 , 21-Апр-22
  - Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 08:27 , 21-Апр-22
Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Хрюн, 07:53 , 21-Апр-22
- Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 09:40 , 22-Апр-22
Возможность генерации фиктивных подписей ECDSA в Java SE. Уя...,Аноним, 13:21 , 22-Апр-22

Сообщения в этом обсуждении

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 10:35

> при обработке подписей с нулевыми параметрами, Java во всех случаях считал их валидными
> проявляется в ветках Java 15, 16, 17 и 18
Это нечто с чем-то... Обновляйтесь, говорили они, это безопасно.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 10:48

> Обновляйтесь, говорили они, это безопасно.
Ну не обновляйся. Вот конкретно это обновление пропусти. Если на работе будут спрашивать, почему пропустил это обновление — скажи, что я разрешил.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено лютый жабби___ , 21-Апр-22 07:52

>Ну не обновляйся. Вот конкретно это обновление пропусти
тебе вообще-то намекают, что надо на 11 или даже 8 сидеть. с 11 можно и согласиться

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено YetAnotherOnanym , 20-Апр-22 10:37

Но как же так? Ведь уязвимости - они от небезопасной работы с памятью через указатели, в жабе такого нет, и вообще, жаба же создана для написания супернадёжного и высокопроизводительного корпоративного софта? Неужели нас опять обманули?

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 10:47

> уязвимости - они от небезопасной работы с памятью через указатели
Не все.
> жаба же создана для написания супернадёжного и высокопроизводительного корпоративного софта
Да.
> Неужели нас опять обманули?
Кто тебя обманул? Аноним с опеннета?

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено YetAnotherOnanym , 20-Апр-22 13:04

> Да.
Спасибо, ты укрепил мою веру!
> Кто тебя обманул?
Как это "кто"? Скотт МакНили, конечно же!

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 10:54

> Неужели нас опять обманули?
Ага, начиная с 15-ой Жабы. До неё проблем с нулями не было.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 11:43

> если параметры нулевые, то кривая уходит в бесконечность
Просто, начиная с 15-й версии, Java умеет считать до бесконечности.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 13:53

дважды?

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 21-Апр-22 10:11

> умеет считать до бесконечности
считать элементы счетного бесконечного множества или континуума?

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 11:46

Это мы ещё не всё про Rust знаем. Вот когда на нём напишут "супернадёжного и высокопроизводительного" корпоративного софта, тогда в нём ещё не таких перлов увидим.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 14:17

> не всё про Rust знаем. Вот когда на нём напишут
Учитывая недавние события, как на нём 18-летние пишут...

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Анонн , 20-Апр-22 11:51

Не удивительно, что такие особи как ты не знают про логические ошибки.
Впрочем... пока исправишь все проблемы с памятью, на проверку логики уже времени не останется.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено ананим.orig , 20-Апр-22 12:15

как бы тебе по мягче сказать..
ошибки при работе с памятью – это и есть логические ошибки.
как только некто (особь, в твоих терминах) начинает считать что это не так, тут же появляются нулевые параметры.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено YetAnotherOnanym , 20-Апр-22 13:11

> Не удивительно, что такие особи как ты не знают про логические ошибки.
Да где ж мне, скудоумному...

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено ананим.orig , 20-Апр-22 12:20

> от небезопасной работы с памятью через указатели
ну.. может для некоторых безопасная работа с памятью это когда между тобой и памятью сидит тов. майор, цру, анб и тд? :D

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Rev , 20-Апр-22 12:32

Ты не путай код на Java и код самой JVM, написанный на плюсах.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 16:25

ну ты понял на что надо переписать JVM.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Алекс , 21-Апр-22 09:51

не дай Бог...

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Rev , 20-Апр-22 12:33

> 26 уязвимостей в сервере MySQL
Интересно, а эти места в MariaDB проверят и тоже пропатчат?

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 20-Апр-22 16:23

Нет у них свой путь.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Kuromi , 20-Апр-22 22:36

Они сам обычно подтягивают патчи и адаптируют.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 21-Апр-22 00:27

MariaDB deprecated legacy уже много лет как, мигрируйте обратно. На самом деле это раздражает, когда без причины заставляют переходить на форк, а потом (внезапно, ни разу не было и вот опять) оказывается, что форк вскорости сдулся, а оригинал уходит вперёд семимильными шагами.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 21-Апр-22 08:27

Кем оно deprecated?

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Хрюн , 21-Апр-22 07:53

Про эллиптику в Яве капец, конечно, адский. Докатились. Ниже падать уже некуда.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 22-Апр-22 09:40

Началось с 15-ой Жабы, а это - сентябрь 2020, фигачат по 2 версии за год! Неудивительно, что всё комом. Для сравнения: 5 - 2004, 6 - 2006, 7 - 2011, 8 - 2014.

"Возможность генерации фиктивных подписей ECDSA в Java SE. Уя..."
Отправлено Аноним , 22-Апр-22 13:21

А сколько еще бэкдоров в Java остаются не найденными....