ля кабаняJan 5

Обожаю (нет) когда разработчики делают “safe” и “fast” API, а потом проходит время и приходится добавлять такие уточнения

> Independent of this vulnerability, it is recommended that users migrate from fastDecompressor to safeDecompressor, as the latter is more performant (despite the name).

https://github.com/yawkat/lz4-java/security/advisories/GHSA-cmp6-m4wj-q63q

Java-based decompressor implementations can leak information from uninitialized output buffer

### Summary Insufficient clearing of the output buffer in Java-based decompressor implementations in lz4-java 1.10.0 and earlier allows remote attackers to read previous buffer contents via craf...

GitHub
Show threadAlex MJan 5
@muttnikus нейминг от боженьки.
У нас в проде "org.lz4:lz4-java" но вроде сенсетива мы им не жмем.
Show threadля кабаняJan 5
@fido_node там ещё перл в том что оригинальная репа заброшена была как только нашли первую уязвимость в декабре, поэтому надо на форк обновляться
Show threadAlex M
@muttnikus форк тоже забросят через 15 минут. скринь.
Jan 5 at 9:30amWeb
Show threadля кабаняJan 5
@fido_node все важное надо писать самому