форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
Сообщение от opennews (??) on 11-Сен-14, 10:27
Раскрыта (http://seclists.org/fulldisclosure/2014/Sep/34) информация об опасной уязвимости (CVE-2013-4444) в контейнере для выполнения JSP-страниц и Java-сервлетов Apache Tomcat, позволяющей неаутентифицированнму злоумышленнику организовать удалённое выполнение кода на сервере. При определённом стечении обстоятельств атакующий может загрузить произвольный JSP-код на сервер и инициировать его выполнение. Необходимым условием для проведения атаки является использование в приложении функциональности Servlet 3.0 File Upload, включение  JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP. Полноценная эксплуатация возможна вкупе с уязвимостью в  классе java.io.File, которая присутствует в Oracle Java 1.7.0 update 25 и более ранних выпусках. Проблема проявляется в выпусках Apache Tomcat с 7.0.0 по 7.0.39 и была устранена в Tomcat 7.0.40 без сообщения о наличии уязвимости. В настоящее время на странице (http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tom...) со списком исправлений в Tomcat 7.0.40 присутствуют сведения об уязвимости, но судя по копии (https://web.archive.org/web/20140907203441/http://tomcat.apa...) на web.archive.org, сделанной несколько дней назад, данные о проблеме добавлены задним числом. Исправление в 2013 году внесено (http://svn.apache.org/viewvc?view=revision&revision=1470437) под видом чистки неиспользуемого кода. URL: http://seclists.org/fulldisclosure/2014/Sep/34 Новость: http://www.opennet.ru/opennews/art.shtml?num=40563
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+2 +/–
Сообщение от Аноним (??) on 11-Сен-14, 10:27
Java, энтерпрайз
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
	Сообщение от Аноним (??) on 11-Сен-14, 14:48
	Опубликовали бы ещё тех кто поймал её, это надо быть героем что-бы так настроить :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	14. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
	Сообщение от MVK (??) on 13-Сен-14, 12:32
	> Java, энтерпрайз "включение  JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP" - если кто-то использует такие настройки в продкшене, то его просто необходимо поиметь, в образовательных целях. У такого чудика еще и Tomcat под рутом небось запущен.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
Сообщение от MidNighter (ok) on 11-Сен-14, 11:17
судя по количеству новостей тема java на опеннет начинает раскрываться )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
Сообщение от vitalif (ok) on 11-Сен-14, 12:43
И ведь в дебиане не исправили ещё!.. https://security-tracker.debian.org/tracker/CVE-2013-4444
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
	Сообщение от Аноним (??) on 11-Сен-14, 21:11
	Jetty?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	12. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
	Сообщение от Аноним (??) on 11-Сен-14, 21:13
	> И ведь в дебиане не исправили ещё!.. > https://security-tracker.debian.org/tracker/CVE-2013-4444 http://zeroturnaround.com/rebellabs/the-great-java-applicati.../
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
Сообщение от Аноним (??) on 11-Сен-14, 14:14
мда, сейчас для ботнетов эта уязвимость просто подарок, ибо яву и приложения мало кто обновляет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
	Сообщение от MidNighter (ok) on 11-Сен-14, 14:26
	ну не всё так страшно как вы пишишите, Tomcat и Java обновятся через штатные обновления реп на Linux системах.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
	Сообщение от Аноним (??) on 11-Сен-14, 14:49
	> мда, сейчас для ботнетов эта уязвимость просто подарок, ибо яву и приложения > мало кто обновляет. Так сильно "недефолтная" настройка
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."	+/–
Сообщение от umbr (ok) on 13-Сен-14, 10:58
Очередной анекдот про критическую уязвимость в Томкате :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема