OpenForum RSS: Критическая уязвимость в Apache Struts https://www.opennet.me/openforum/vsluhforumID3/112160.html Опубликовано (http://struts.apache.org/announce.html#a20170905) обновление web-фреймворка Apache Struts 2.5.13 (http://struts.apache.org), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В состав выпуска включено исправление критической уязвимости (https://struts.apache.org/docs/s2-052.html) (CVE-2017-9805 (https://security-tracker.debian.org/tracker/CVE-2017-9805)), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется (https://lgtm.com/blog/apache_struts_CVE-2017-9805) при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяется по умолчанию). <br><br><br><br><br>Пользователям рекомендуется как можно скорее установить исправление, так как не исключено повторение весенней массированной атаки (https://www.opennet.ru/opennews/art.shtml?num=46167) на корпоративные сети, в которых применяются приложения на базе Apache Struts (по стат Критическая уязвимость в Apache Struts (Аноним) https://www.opennet.me/openforum/vsluhforumID3/112160.html#40 Wed, 13 Sep 2017 22:55:21 GMT &gt; ну опять же - а что за д..л писал автоматический скрипт?<br><br>Возможно достаточно примитивный и просто желавший денег без особых усилий.<br> Критическая уязвимость в Apache Struts (лютый жабист__) https://www.opennet.me/openforum/vsluhforumID3/112160.html#39 Fri, 08 Sep 2017 10:56:16 GMT &gt;пишу, мол, на C++14 -- web20 фрымворк<br><br>Сишники опять на 10 лет опоздали. JSF уже написали, причём 13 лет назад. ХЗ про веб2нольность в первых версиях, но несколько лет этому добру уже точно есть.<br>Промышленное качество, куча внедрений. ;) Я думаю, сишники к появлению web5.0 напишут этот свой "web20 фрымворк на C++14", а там опять переписывать на c++27 и web5.0 :)<br> Критическая уязвимость в Apache Struts (Andrey Mitrofanov) https://www.opennet.me/openforum/vsluhforumID3/112160.html#38 Fri, 08 Sep 2017 08:50:15 GMT &gt;&gt;жабоеды так пели <br>&gt; Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а <br>&gt; на несколько уровней выше в одном из 20 web-фреймворков.<br>&gt; Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы <br>&gt; JSF.<br><br>Конечно готов! _Озвучить_. Но ты медленный. В соседней http://www.opennet.ru/openforum/vsluhforumID3/112178.html#0 [если меня склероз не обманывает] уже и озвучили, и модераторы потёрли, "пишу, мол, на C++14 -- web20 фрымворк".<br><br>Поспрашай там -- тебе ответят[I]!<br> Критическая уязвимость в Apache Struts (лютый жабист__) https://www.opennet.me/openforum/vsluhforumID3/112160.html#37 Fri, 08 Sep 2017 08:24:31 GMT &gt;жабоеды так пели<br><br>Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а на несколько уровней выше в одном из 20 web-фреймворков.<br><br>Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы JSF.<br> Критическая уязвимость в Apache Struts (пох) https://www.opennet.me/openforum/vsluhforumID3/112160.html#36 Thu, 07 Sep 2017 12:30:56 GMT &gt; Причем тут жаба?<br><br>при том, что жабоеды так пели, так пели - "у нас так не бывает, у нас язык нас страхует от ужасов указателей (других-то ужасов давно не бывает), у нас gc, у нас круто, а все остальные устарели на стодесять лет и им место на свалке"<br><br>мы им аж верить иногда начинали... потом, правда, слегка отпускало, и снова пробивало на ржач.<br><br>&gt; Ява должна была обрубать все такие возможности<br><br>а чо, нет, оказываетсо? героической победы над указателями недостаточно? А как дысал, как дысал...<br><br> Критическая уязвимость в Apache Struts (Очередной аноним) https://www.opennet.me/openforum/vsluhforumID3/112160.html#35 Thu, 07 Sep 2017 06:29:26 GMT и такие люди как ты называют себя инженерами... Причем тут жаба? Какой-то плагин в каком-то левом фреймворке (да, да, fortune 100) написанный криворукими (или невыспавшимися) быдлoкодерами принимает извне какой-то сериализованный объект, десериализует его на сервере и не анализируя что это за ява-класс без проверок запускает в работу. Ну чо, конечно ява виновата, не фреймворк. Ява должна была обрубать все такие возможности (сериализация/десериализация, RPC да и вообще работу с сетью и файловой системой) чтобы быдлoкодеры не могли левые фреймворки на ней писАть. Разрешить только цифры складывать. Ладно, ладно, еще и вычитать разрешим. Ой, а ну как переполнение будет. Нет, арифметику тоже запретим.<br> Критическая уязвимость в Apache Struts (Аноним) https://www.opennet.me/openforum/vsluhforumID3/112160.html#34 Thu, 07 Sep 2017 05:04:40 GMT небезопасная десериализация XML<br>https://www.youtube.com/watch?v=mdS4DnjpMkg<br>вот она какая эта безопасная джаба<br> Критическая уязвимость в Apache Struts (Аноним) https://www.opennet.me/openforum/vsluhforumID3/112160.html#33 Wed, 06 Sep 2017 16:45:47 GMT Жаба не течёт, лиса не тормозит, хромой не пухнет, плазма не падает, пульса не икает.<br> Критическая уязвимость в Apache Struts (виндотролль) https://www.opennet.me/openforum/vsluhforumID3/112160.html#32 Wed, 06 Sep 2017 14:17:21 GMT Да врали все пацаны. Из джавы можно даже rm -rf сделать. От рута.<br>