24.07.2025 08:00
DukeArchitect 0 667 Источник

Если вы держите свои продакшн-инстансы на Axiom JDK и Libercat, ловите апдейт: вышли свежие релизы безопасности Java-стека. Делимся, что внутри и почему это важно.

Axiom JDK: CVE закрыли, часовые пояса настроили, баги пофиксили

Команда выкатила обновления для всех LTS и текущего релиза:
8u462, 11.0.28, 17.0.16, 21.0.8 и 24.0.2.

Основное — 7 уязвимостей безопасности закрыто, включая критические (CVSS 8+):
CVE-2025-24855 (7.5), CVE-2025-27113 (7.5), CVE-2025-30749 (8.1), CVE-2025-30754 (4.8), CVE-2025-50059 (8.6), CVE-2025-50106 (8.1), CVE-2025-30761 (5.9)

Среди них:

  • JavaFX/web с необходимостью участия пользователя,

  • client-libs/2d, который можно было дергать по сети без всяких привилегий,

  • и небезызвестный java.net с возможностью модифицировать данные.

Плюс:

  • 950+ фиксов и бэкпортов, из них:

    • в 24.0.2 — 8 security-патчей + 166 обычных

    • в 21.0.8 — 6 + 362

    • в 17.0.16 — 6 + 294

    • в 11.0.28 — 7 + 31

    • в 8u462 — 7 + 27

Дополнительно:

  • обновили базу таймзон до IANA 2025b: особенно пригодится, если ваше ПО считает время в Чили или исторические даты в Иране

  • улучшили утилиту zic: она больше не создаёт неправильные симлинки и корректно обрабатывает аргументы.

Libercat: стабильнее, безопаснее, гибче

Libercat 9, 10, 11 и Libercat EE 8 и 9 тоже получили апдейты.
Тут всё более компактно, но не менее важно:

  • 1 CVE закрыт (уровень критичности 7.3) — лучше не тянуть с обновлением.

  • 18 фиксов по стеку, из них:

    • по 16 для Libercat 9, 10, 11

    • по 2 для EE-версий

Особо радует новое в Libercat EE:

  • нормальное восстановление XA-транзакций (обновили имя класса ресурсного адаптера Artemis — баг был адский, если ловили сбои),

  • плюс теперь можно использовать Java EE / Jakarta EE с внедрением зависимостей Spring через @Resource (а это прям близко к реальной гибридной архитектуре).

Libercat с каждым релизом всё больше отдаляется от образа «русского Tomcat’а» и приближается к боевому серверу приложений — серьезной альтернативе WebLogic, WebSphere или JBoss.

И помните: все релизы совместимы с Java EE / Jakarta EE, а код проходит аудит. Это не просто патчинг ради галочки, а серьезная работа.

Как обновляться

Чтобы быть на стороне безопасности:

  • ставьте последнюю версию в пределах текущей линейки (например, с 8.0.16-19 на 8.0.16-23),

  • следите за новыми релизами на нашем сайте и в блоге,

  • и обязательно пишите нам (в комментариях и в личку), если возникнут вопросы — поможем с миграцией.

Рекомендуем не откладывать обновления. Новый релиз свободно распространяемой версии Axiom JDK для разработчиков можно просто загрузить в ЛК

Комментарии (0)