forum.opennet.ru

"Критическая уязвимость в Apache Struts"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

"Критическая уязвимость в Apache Struts"	+/–
Сообщение от opennews (?), 06-Сен-17, 09:09
Опубликовано (http://struts.apache.org/announce.html#a20170905) обновление web-фреймворка Apache Struts 2.5.13 (http://struts.apache.org), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В состав выпуска включено исправление критической уязвимости (https://struts.apache.org/docs/s2-052.html) (CVE-2017-9805 (https://security-tracker.debian.org/tracker/CVE-2017-9805)), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется (https://lgtm.com/blog/apache_struts_CVE-2017-9805) при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяется по умолчанию). Пользователям рекомендуется как можно скорее установить исправление, так как не исключено повторение весенней массированной атаки (https://www.opennet.ru/opennews/art.shtml?num=46167) на корпоративные сети, в которых применяются приложения на базе Apache Struts (по статистике (https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement) около 65% компаний из списка Fortune 100 используют приложения на базе Struts и почти во всех подобных корпоративных приложениях используется плагин REST). В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho...) с правами root, в результате атаки сразу может быть получен root-доступ к системе. Проблема затрагивает все версии Apache Struts, выпущенные с 2008 года, и пока остаётся неисправленной в дистрибутивах Debian (https://security-tracker.debian.org/tracker/CVE-2017-9805), EPEL-7 (https://bugzilla.redhat.com/show_bug.cgi?id=1488487), Ubuntu (https://usn.ubuntu.com/usn/) (в SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9805), Fedora и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=1488482) Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST. URL: https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement Новость: https://www.opennet.ru/opennews/art.shtml?num=47139
Ответить \| Правка \| Cообщить модератору

Оглавление

Критическая уязвимость в Apache Struts, opennews, 06-Сен-17, 09:09 [смотреть все]

95 , Аноним, 06-Сен-17, 10:27 (9) //
- Недавно один провайдер VDS VPS переносил виртуалки на другое оборудование, у н, Аноним, 06-Сен-17, 11:47 (13) //
  - Ну, вот как раз для вебовской VDS разница невелика - рута поломают или простого , Crazy Alex, 06-Сен-17, 12:04 (14) //
    - это если в нее не понапихано стотыщ дерьмохостингов разом А оно обычно так и де, пох, 06-Сен-17, 12:09 (16)
      - ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или н, Аноним, 06-Сен-17, 12:19 (18)
        
        ну опять же - а что за д л писал автоматический скрипт Если он хотел просто спа, пох, 06-Сен-17, 12:23 (20)
        
        Возможно достаточно примитивный и просто желавший денег без особых усилий , Аноним, 14-Сен-17, 01:55 (40)
      - Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает Занятно, Crazy Alex, 06-Сен-17, 12:21 (19)
        
        атож щас посчитал - на моей домашнестраничилке 61 штук А это ж даже не бизне, пох, 06-Сен-17, 12:32 (22)
    - В смысле поломают рута У вас ничего от рута не работает, 10-к сайтов с базами д, Аноним, 06-Сен-17, 12:14 (17)
      - Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли , Crazy Alex, 06-Сен-17, 12:28 (21)
        
        Обычно всегдаодна vds 800р без стоимости рук, это вроде не много, но и микр, Аноним, 06-Сен-17, 13:53 (28)
  - Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете , Аноним, 06-Сен-17, 12:37 (24) //
    - а вас в какой каталог занести , Аноним, 06-Сен-17, 13:54 (29)
- причем оставшиеся пять совершенно не понимают, зачем они это делают - вычитали в, пох, 06-Сен-17, 12:06 (15) //
  - Хм, я вот согласен, но для разнообразия - вот альтернативы 1 случай, когда собс, Crazy Alex, 06-Сен-17, 12:34 (23) //
    - ну, какие-то они все теоретические На практике - struts штука тяжелая ибо жабо, пох, 06-Сен-17, 13:23 (26)
      - Да я по поводу рассказа о VDS и руте говорил, struts - тут да, всё понятно Хотя, Crazy Alex, 06-Сен-17, 13:30 (27)
Жаба безопасная С Квааа, _, 06-Сен-17, 16:36 (31) //
- Да врали все пацаны Из джавы можно даже rm -rf сделать От рута , виндотролль, 06-Сен-17, 17:17 (32)
- Жаба не течёт, лиса не тормозит, хромой не пухнет, плазма не падает, пульса не и, Аноним, 06-Сен-17, 19:45 (33)
- и такие люди как ты называют себя инженерами Причем тут жаба Какой-то плагин, Очередной аноним, 07-Сен-17, 09:29 (35) //
  - при том, что жабоеды так пели, так пели - у нас так не бывает, у нас язык нас с, пох, 07-Сен-17, 15:30 (36) //
    - Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8 а на несколько уро, лютый жабист__, 08-Сен-17, 11:24 (37)
      - Конечно готов _Озвучить_ Но ты медленный В соседней http www opennet ru ope, Andrey Mitrofanov, 08-Сен-17, 11:50 (38)
        
        Сишники опять на 10 лет опоздали JSF уже написали, причём 13 лет назад ХЗ про, лютый жабист__, 08-Сен-17, 13:56 (39)
небезопасная десериализация XMLhttps www youtube com watch v mdS4DnjpMkgвот он, Аноним, 07-Сен-17, 08:04 (34)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру