Внимание, внимание, внимание!
Вышли экстренные патчи безопасности в релизах Axiom JDK 25.0.1, 21.0.9, 17.0.17, 11.0.29 и 8u472. Мы устранили четыре критические уязвимости в OpenJFX, уровень опасности которых — высокий и средний.
Если вы используете JavaFX, весьма популярный в России инструмент для создания графических интерфейсов, обновляйтесь, чтобы ваши приложения не стали любимым местом хакеров.
И да, CDS-архивы classes*.jsa для Linux AArch64 теперь тоже на месте — если кто-то пользовался старой сборкой, спешите обновиться.
Устраненные CVE-шки в соответствии с версией:
CVE ID |
8 |
11 |
17 |
21 |
25 |
CVE-2025-10911 |
• |
• |
• |
• |
• |
CVE-2025-6021 |
• |
• |
• |
• |
• |
CVE-2025-7424 |
• |
• |
• |
• |
• |
CVE-2025-7425 |
• |
• |
• |
• |
• |
Почему патчи - это не просто «дополнительный пункт в TODO»
Многие считают: «Фаервол есть, значит всё ок». Не ок. 95% приложений состоят из внешних библиотек, и почти 80% этого кода никогда не обновляется. Внутри закрытой сети может быть целая мини-армия уязвимостей, и социнженерия хакеров только и ждёт, когда вы нажмете Enter.
Патчи позволяют:
закрыть известные дыры,
не тратить ночь (а то и больше) на разбор «что взломали»,
поддерживать стабильность и безопасность среды исполнения.
Какие угрозы сейчас в топе
ИБ-эксперты выделяют три наиболее актуальных.
ИИ в атаках
Нейросети упростили создание спама и фишинга. Письма выглядят настолько правдоподобно, что даже опытный разработчик может кликнуть «Reply All». Защитники тоже внедряют ИИ — для анализа аномального поведения, блокировки подозрительных скриптов и автоматического реагирования на инциденты. Получается такая игра «ИИ против ИИ», а люди остаются в роли наблюдателей.
Zero Trust
Забудьте про «наш периметр защищён». Теперь философия простая: никому не доверяй, всё проверяй. Любой доступ, любая библиотека, любой CI/CD-скрипт — проверка, проверка и ещё раз проверка. Если кто-то думает, что VPN+пароль решает проблему — welcome to reality.
Атаки на цепочки поставок ПО
Хакеры пробираются вглубь разработки, атакуют разработчиков, CI-сервера и библиотеки. Если не контролировать зависимости, то несложно внедрить бэкдор в сборку ещё до того, как вы её запустите.
Пример из жизни. В 2024 году вредоносный код был обнаружен в XZ Utils — библиотеке, используемой в системных утилитах Linux. Вредоносный код попал прямо в официальные релизы популярных дистрибутивов и всплыл только на финальном этапе QA/релиза.
Что делать?
Использовать только доверенные репозитории.
Внедрять композиционный анализ, чтобы видеть, что внутри каждой библиотеки. Один из ключевых моментов здесь - SBOM (Software Bill of Materials). Это структурированный перечень всех компонентов, входящих в программный продукт: библиотеки, зависимости, версии, - своего рода «цифровой паспорт» ПО, позволяющий оценить его уязвимости и управлять рисками.
И, конечно, обновлять зависимости регулярно, не откладывая апдейты «на потом».
Как мы собираем и тестируем сборки
Наш процесс промышленной безопасной разработки и обновления Java-дистрибутивов - почти космическая миссия. Рассказали об этом в отдельной статье. Тут подсветим важное:
37 машин для сборки,
64 для тестов,
отдельные для фаззинга, анализа кода и производительности.
Каждую сборку мы прогоняем через ~160 000 тестов, проверяе��:
отсутствие падений и вылетов,
100% покрытие спецификации,
отсутствие регрессий.
Не ждите, пока CI скажет «RCE detected». Даже если периметр защищён, устаревшие JDK и библиотеки остаются точкой входа для атак. Регулярные патчи Axiom JDK — это простой способ поддерживать безопасность, стабильность и управляемость ваших проектов.
Как обновляться
Чтобы быть на безопасной стороне:
ставьте последнюю LTS-версию в пределах текущей линейки,
следите за новыми релизами в нашем блоге,
и обязательно пишите нам (в комментариях и в личку), если возникнут вопросы. А захотите обсудить лично - заглядывайте на Java Rock Star митап.
В заключении напомним: свободно распространяемую версию Axiom JDK для разработчиков можно загрузить в ЛК. И OpenIDE также работает на нашем рантайме.