forum.opennet.ru

"Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+3 +/–
Сообщение от Funkey_33333 (?), 31-Мрт-22, 14:10
Еда... Есть в конторе бизнесовое приложение. Дико важное бизнесу. Пилят типа "мидлы', обученные де то на супер-курсах и в ютюбах. У нас, у админов, которые занимаются внедрением всей этой дичи, и обеспечением cicd и отказоустойчивости её, раньше была "палка", чтобы бить по рукам тем деятелям... После жалоб бизнесу на то, что мы тормозим их супер эффективный АДжаил своими придирками, и что им, несчастным, приходится тратить свое драгоценное время не на сам супер проект, а на ненужное замыкание дыр, бизнес у нас, вместе с ИБ отобрал "палку"... Вот так оно и живёт... Пипец, в общем.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах, opennews, 31-Мрт-22, 10:22 [смотреть все]

Жаба как обычно, самая безопасная Банально из-за сложности и многослойных нагро, Аноним, 31-Мрт-22, 10:22 (1) //
- Неа Дело в попытке быстро получить бизнес результат Поэтому халтурят во все лоп, А, 31-Мрт-22, 10:42 (4) //
  - Как будто не под рутом что-то изменило бы У жабаприложения и так есть доступ , пох., 31-Мрт-22, 10:56 (6) //
    - Речь про отношение людей к теме Это может и да, если всё в целом А про рута ист, А, 31-Мрт-22, 11:02 (9)
      - Ну потому что правда ни от чего не поможет и только займет лишнее время Обычно , пох., 31-Мрт-22, 12:55 (25)
        
        А уметь-то умеют Только это ж работу работать надо А на улице - весна , A, 31-Мрт-22, 14:55 (55)
        
        Не умеют В гугле искать умеют - но это ж искать надо, а там спринт не ждет На , пох., 31-Мрт-22, 16:24 (64)
        
        ой, извини сглазил Нашли они в гугле, пока я тебе предыдущее писал как , пох., 31-Мрт-22, 16:28 (65)
  - Получил root контейнера, а дальше с ним со делать В контейнере кроме jvm и при, Аноним, 31-Мрт-22, 11:58 (17) //
    - Там всякие капабилити включены, конт привилегированный и прочие лёгкие способы , А, 31-Мрт-22, 12:02 (18)
      - Даже встречал как за своё выдают основную и первую идею контейнеризации и изоляц, А, 31-Мрт-22, 12:05 (20)
    - А в конфиге приложения - всё, что нужно для доступа к БД, с которой это приложен, YetAnotherOnanym, 31-Мрт-22, 12:58 (26)
      - Поэтому я решил что конфиги - г-но, немедля поперекодить все так чтоб все сикрет, твой начальник, 31-Мрт-22, 14:15 (42)
        
        Пральна, и каждый день выпускать апдейт, в котором всё будет в новых местах, что, YetAnotherOnanym, 31-Мрт-22, 14:34 (49)
        
        Но пароли будут всегда старые, потому что не все те места удается найти и поменя, пох., 31-Мрт-22, 16:29 (66)
      - так это же не зависит от того root там или не root Всё самое ценное будет досту, Аноним, 31-Мрт-22, 16:42 (67)
        
        дык Эспертам опеннета это понимание чуждо Другой вопрос, правда, в том, что чер, пох., 31-Мрт-22, 17:27 (71)
  - Т е фактически вы своим постом подтвердили, что жаба тотальный легаси Дело был, Брат Анон, 31-Мрт-22, 14:13 (41)
- Стандартная история с рефлексией-десериазилацией Такое безопасно делать только , Аноним, 31-Мрт-22, 12:59 (27)
Спасибо г-споди, что я с этим больше не работаю , name, 31-Мрт-22, 10:35 (2) //
- А с чем работаете , vellkira, 31-Мрт-22, 10:48 (5) //
  - не с этим, Аноним, 31-Мрт-22, 11:38 (14)
  - С лопатой на стройке, Аноним, 31-Мрт-22, 13:13 (31)
не воспроизвелось Так херово работает все, что даже эксплойты не работают, Анонимыч, 31-Мрт-22, 11:02 (8)
Но ведь даже без учёта уязвимостей - жаба тормозная и жручая Кто в здравом уме , YetAnotherOnanym, 31-Мрт-22, 11:06 (10) //
- Производители железа одобряют, Аноним, 31-Мрт-22, 11:16 (12)
- зайдите на хх ру да спросите у всех тамошних работодателей из сферы ИТ, Аноним, 31-Мрт-22, 11:39 (15) //
  - Сейчас в результате февральских событий есть подозрение, что все это последие 30, Аноним, 05-Апр-22, 00:00 (91)
- А она настолько была прогрессивнее Сей, что профит от того поборол Как написано , А, 31-Мрт-22, 11:39 (16) //
  - Дак класс RC счетчика а смарт поинтеры в плюсах уже из коробки в сях можно нап, Аноним, 05-Апр-22, 00:02 (92) //
    - В синтаксисе Язык идеален для ОЧЕНЬ больших проектов, и наоборот, совершенно не, Z, 02-Май-22, 02:31 (98)
- Насчет жручести - может быть и правда, но тормоза - чистой воды фантастика В яв, Аноним, 31-Мрт-22, 12:04 (19) //
  - 3000 одновременно залогиненых пользователей, каждый - на подсосе минимум одного , Аноним, 31-Мрт-22, 12:39 (22) //
    - Целых 3 тысячи При том что стек который это держит скорее всего чуть более, чем, server_push, 31-Мрт-22, 14:05 (38)
    - 64к коннектов одновременно обрабатывали на нескольких томкатах, которые на одной, Анонимыч, 31-Мрт-22, 16:04 (62)
    - а сессий десятки - сотни тысяч были и все летало на тормозной джаве Надо прос, Анонимыч, 31-Мрт-22, 16:10 (63)
  - Дооо Уж мы сейчас как всю память в системе отхаваем, да все свои структуры да, YetAnotherOnanym, 31-Мрт-22, 12:53 (24) //
    - это просто у тебя код г-но Вот как надо правильно дорогая техподдержка - а че, пох., 31-Мрт-22, 13:01 (28)
      - Ага, LA за сотню, и когда очередь дойдёт до оом киллера - еще неизвестно , YetAnotherOnanym, 31-Мрт-22, 13:06 (30)
    - на яве пишут долгоиграющие приложения То, что он будет раз в месяц запускаться , Аноним, 31-Мрт-22, 13:20 (32)
      - Вообще-то, кроме жабы на белом свете существуют не только php и python Ну да ла, YetAnotherOnanym, 31-Мрт-22, 13:51 (35)
        
        Для корпоративных приложений кроме явы есть только сишарп, period А так да, для, Аноним, 31-Мрт-22, 13:58 (36)
        
        Ну да, ну да , YetAnotherOnanym, 31-Мрт-22, 14:08 (39)
  - Да есть, вообще-то, на белом свете один ЯП, специально созданный для написания н, YetAnotherOnanym, 31-Мрт-22, 14:04 (37) //
    - но ты про этот язык никому не расскажешь, верно А если и расскажешь, то выяснит, Аноним, 31-Мрт-22, 14:17 (43)
      - Конечно нет, зачем людей смущать Вон как они бодро плюсуют свои каменты, в их м, YetAnotherOnanym, 31-Мрт-22, 14:21 (45)
        
        ну тогда продолжай пребывать в воображаемом мирке, где изобрели серебряную пулю , Аноним, 31-Мрт-22, 14:30 (47)
    - Имя, брат, имя Неужели эрланг богомерз богоподобный или эликсир, на нем наст, Аноним, 01-Апр-22, 11:18 (82)
      - Не могу, обещал не говорить Но вобщем - те же яблоки, только в профиль , YetAnotherOnanym, 01-Апр-22, 23:41 (84)
Бежать немедленно с этой жабы, Аноним12345, 31-Мрт-22, 11:26 (13) //
- Дети всегда куда-то бегут Откуда-то или куда-то, неважно, направление задают экс, ms is a piece of s, 31-Мрт-22, 14:23 (46)
Жаба это давно уже легаси сводящееся к поддержке и допилу под нужды Джуны нафиг, Смузихлёб, 31-Мрт-22, 12:06 (21)
А к embedded tomcat не относится что-ли Только если war-ник и на отдельном Tomc, Аноним, 31-Мрт-22, 12:49 (23) //
- However, if Spring is deployed using the Embedded Tomcat Servlet Container the c, An onymous, 01-Апр-22, 21:03 (83)
кто из опытных ушел из джавы в Го, как оно , WebBonobo, 31-Мрт-22, 13:01 (29) //
- Я пытался подучить жабу как-то Что меня с первого же шага выбесило -- нужно прой, Брат Анон, 31-Мрт-22, 14:18 (44) //
  - Скорее всего разработка ПО это не твое Уж жаба-то проще сей и крестов Корпо-лопа, ms is a piece of s, 31-Мрт-22, 14:30 (48) //
    - Угу, наверное ты прав Ответил главный эксперт блока по техническому развитию о, Брат Анон, 31-Мрт-22, 15:18 (58)
      - какая госкорпорация, такие и главные эксперты, Аноним, 04-Апр-22, 15:31 (89)
  - Да Это трудная работа, писать код, в котором сложно отклониться от нужного И и, A, 31-Мрт-22, 14:54 (54)
  - Большей шизофазии ппро джаву почти не встречал, Джавистсанитар, 31-Мрт-22, 15:37 (60)
  - Когда java разрабатывалась utf-8 еще небыло Для внутренних строк используется е, Аноним, 31-Мрт-22, 16:54 (69) //
    - это не аргумент питон например еще старше и прожувал эту проблему utf16 скорее, Аноним, 02-Апр-22, 17:41 (86)
    - Жабка вышла в 95-ом utf-8 - в 1992-ом А используемый жабкой utf-16 - в 96-ом Но, Аноним, 04-Апр-22, 15:28 (88)
  - Насколько нужно затупить чтобы такое написать , eugener, 31-Мрт-22, 22:12 (76) //
    - Нисколько Все файлы сохранял в UTF-8 кодировка по умолчанию , и компилятор не , Брат Анон, 01-Апр-22, 09:09 (79)
      - Походу в винде дело происходило У Java в винде кодировка по умолчанию как раз 1, eugener, 01-Апр-22, 09:25 (80)
        
        Почему-то компилятору golang, или pyhon -- никакие кодировки указывать не надо , Брат Анон, 03-Апр-22, 14:40 (87)
  - Проблема с УТФ-8 в консоли винды 8211 бага самой винды, а не джавы Проблема , Z, 02-Май-22, 02:02 (95) //
    - Ещё раз внимательно читаем текст При чём тут консоль При чём тут венда utf8 -, Брат Анон, 02-Май-22, 12:41 (99)
- Игого корпо-лопатен на уровне генетики Crystal прямой ему конкурент и заменитель, ms is a piece of s, 31-Мрт-22, 14:34 (50)
- Попробуй свой собственный ямл конфиг распарсить, со своей сложной схемой Хоро, A, 31-Мрт-22, 15:01 (56)
- Попробуй свой собственный ямл конфиг распарсить, со своей сложной схемой Хоро, A, 31-Мрт-22, 15:01 (57)
Проверил, на пашет если сервисы сделаны норм и разрешено только то, что разрешен, Аноним, 31-Мрт-22, 13:50 (34)
Еда Есть в конторе бизнесовое приложение Дико важное бизнесу Пилят типа ми , Funkey_33333, 31-Мрт-22, 14:10 (40) //
- Бежать без оглядки надо из такой конторы Работа должна приносить удовольствие, , Z, 02-Май-22, 02:11 (96)
Запускающим java приложения из под рута должны выдаваться трудовые книжки Адеква, ms is a piece of s, 31-Мрт-22, 14:41 (51) //
- Уязвимости класса privilege elevation находят довольно часто, про них часто в но, Фняк, 04-Апр-22, 17:27 (90)
- Вы из какого года вещание Трудовые книжки сейчас остались лишь в госучреждениях, Z, 02-Май-22, 02:13 (97)
Любителям тащить в рот всё новое посвящается , Аноним, 31-Мрт-22, 14:47 (52)
А кто-то использует что-то новее JAVA8 для серьезных задач Там где легаси и коп, IdeaFix, 31-Мрт-22, 15:26 (59) //
- На уже предыдущей работе использовали java 11, что openjdk Собирались java 13, , Stanislavvv, 31-Мрт-22, 15:47 (61) //
  - А какой смысл использовать не LTS У нее же срок поддержки пол года, пока что-то, Аноним, 31-Мрт-22, 16:57 (70)
- JDK 11 она LTS и много где давно уже используется Через год можно будет уже 17 и, ms is a piece of s, 31-Мрт-22, 16:53 (68)
- почти все вакансии во всяких криптостартапах, яндексы, тупкофф и остальном подоб, лютый жабби__, 31-Мрт-22, 18:10 (73) //
  - Поддерживаю несколько легаси проектов моё легаси еще поддерживается разработчик, IdeaFix, 31-Мрт-22, 21:48 (75) //
    - поискал бы нормальную работу а я уже накатил 2 6 6 и забыл хотя у нас только , лютый жабби__, 31-Мрт-22, 23:03 (77)
      - Хз, мне нравится к тому же, поддержка легаси - это скорее дополнительное на п, IdeaFix, 02-Апр-22, 13:31 (85)
Предложенное решение НЕ сработает условие внутри матчера patternMatchUtils не , Аноним, 31-Мрт-22, 17:30 (72)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру