https://www.opennet.ru/openforum/vsluhforumID3/119933.html Исследователи из китайской компании Chaitin Tech выявили уязвимость (CVE-2020-1938) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Уязвимости присвоено кодовое имя Ghostcat и критический уровень опасности (9.8 CVSS). Проблема позволяет в конфигурации по умолчанию через отправку запроса по сетевому порту 8009 прочитать содержимое любых файлов из каталога web-приложения, в том числе файлов с настройками и исходных текстов приложения...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52459<br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#32 Tue, 03 Mar 2020 14:04:54 GMT После 8-ки вразнос пошла. Все эти попытки псевдо-функционалку приколотить гвоздями. Получилось даже хуже, чем с обобщениями.<br>А так, вполне норм. Хорошо изучена, хорошо документирована, обширное сообщество (и даже иногда вполне знающие и адекватные представители в нём попадаются).<br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#31 Mon, 02 Mar 2020 16:22:12 GMT здесь этой проблемы нет, котлин в вебе мертв.<br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#30 Mon, 02 Mar 2020 15:54:29 GMT А что не так собственно с java, только хочется нормальной критики, а не вроде *амно много памяти жрет и всё в таком духе.<br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#29 Mon, 02 Mar 2020 04:39:25 GMT они обычно сами томкэтов не ставят, если только на своем локалхосте, где оно как раз вполне безопастно. Ставят задачу девляпсу - "развернуть двадцать томкэтов в amazon cloud".<br>И готовый шаблон ему, найденый на stackoveflow где-то рядом с тем кодом, который они якобы-разработали. <br><br>А тот про tomcat вообще знает примерно ничего.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#28 Mon, 02 Mar 2020 04:36:22 GMT Когда у тебя там кроме 0.0.0.0 только 127.0.0.1 - можешь не тупить.<br><br>А когда ты перестанешь быть админом локалхоста - прекрасное время, когда можно было тупить в экран - кончится. На большую часть своих томкэтовых хостов ты вообще зайдешь ровно ноль раз.<br><br>А настройки - скопипастишь те, что тебе прислал разработчик. Понятия не имея, что они, заодно, включают кластерный сервис вместе с api.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#27 Sun, 01 Mar 2020 19:46:58 GMT почему?<br>если закрыть все входящие порты кроме 2-3х нужных глупые "уязвимости" вроде этой и memcached открытого всем, тебя не коснутся. <br>Даже если случайно не уследишь за чем-то, всё равно соединиться не смогут. <br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#26 Sun, 01 Mar 2020 19:06:17 GMT И тупить на результат до устранения 0.0.0.0 из левого столбца.<br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#25 Sun, 01 Mar 2020 19:05:26 GMT Да как-то всегда netstat -antpu <br> https://www.opennet.ru/openforum/vsluhforumID3/119933.html#24 Sun, 01 Mar 2020 13:45:15 GMT Оперативка есть?... А если найду? (с)<br>