The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Критическая уязвимость в Apache Struts"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в Apache Struts"  +/
Сообщение от opennews on 06-Сен-17, 09:09 
Опубликовано (http://struts.apache.org/announce.html#a20170905)  обновление web-фреймворка Apache Struts 2.5.13 (http://struts.apache.org), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller.  В состав выпуска включено исправление критической уязвимости (https://struts.apache.org/docs/s2-052.html) (CVE-2017-9805 (https://security-tracker.debian.org/tracker/CVE-2017-9805)), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется (https://lgtm.com/blog/apache_struts_CVE-2017-9805) при использовании плагина  REST с обработчиком XStream  для десериализации XML-блоков (применяется по умолчанию).


Пользователям рекомендуется как можно скорее установить исправление, так как не исключено повторение весенней массированной атаки (https://www.opennet.ru/opennews/art.shtml?num=46167) на корпоративные сети, в которых применяются приложения на базе  Apache Struts (по статистике (https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement) около  65% компаний из списка Fortune 100 используют приложения на базе Struts и почти во всех подобных корпоративных приложениях используется плагин REST).  В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho...) с правами root, в результате атаки сразу может быть получен root-доступ к системе.


Проблема затрагивает все версии Apache Struts, выпущенные с 2008 года, и пока остаётся неисправленной в дистрибутивах Debian (https://security-tracker.debian.org/tracker/CVE-2017-9805), EPEL-7 (https://bugzilla.redhat.com/show_bug.cgi?id=1488487), Ubuntu (https://usn.ubuntu.com/usn/) (в SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9805), Fedora и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=1488482)  Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST.


URL: https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement
Новость: https://www.opennet.ru/opennews/art.shtml?num=47139

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


9. "Критическая уязвимость в Apache Struts"  +1 +/
Сообщение от Аноним (??) on 06-Сен-17, 10:27 
> В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root.

95%

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Критическая уязвимость в Apache Struts"  +2 +/
Сообщение от Аноним (??) on 06-Сен-17, 11:47 
Недавно один провайдер VDS/VPS переносил виртуалки на "другое" оборудование, у нас свалился серевер ( точнее сервер то живой остался но полетели exim/apache/mariadb, начали разбираться - в каталогах слетели права на папки ( что-то там в настройках xen на сервере было не то ), так вот что больше всего поразило, это то что при переносе у большинства виртуалок всё было нормально со слов хостинга, а наша система оказалась чувствительной к семне прав.
Я сначала даже засомневался, но закрались смутные сомнения, если всё работает под root, то ведь и не свалится, и не заметишь :)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Crazy Alex (ok) on 06-Сен-17, 12:04 
Ну, вот как раз для вебовской VDS разница невелика - рута поломают или простого юзера, так что они могли быть даже где-то правы... Только на фиг такие прецеденты.

Кстати, в докерах всяких ещё всё обычно от рута крутится.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Критическая уязвимость в Apache Struts"  –2 +/
Сообщение от пох on 06-Сен-17, 12:09 
> Ну, вот как раз для вебовской VDS разница невелика

это если в нее не понапихано стотыщ дерьмохостингов разом. А оно обычно так и делают.

А вот как раз взрослым системам - совершенно все равно.

> Кстати, в докерах всяких ещё всё обычно от рута крутится.

опять же - предположим даже у тебя все было "правильно", и стратс крутился в докер-контейнере, и не от рута. Кому от этого щастье, если все, к чему он имел доступ, поимел внезапно хацкер васья?
Ну, может на drop database у него прав не хватит, и это - к сожалению, потому что такое как раз сразу заметишь, и восстановишь снапшот. А поменять что-нибудь в базе - и ты об этом никогда не узнаешь и от легальной транзакции никак не отличишь. (а докер еще и уменьшает шансы сделать правильный проактивный ids...впрочем, кто их на деле делает)


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Аноним (??) on 06-Сен-17, 12:19 
>> Кстати, в докерах всяких ещё всё обычно от рута крутится.
> опять же - предположим даже у тебя все было "правильно", и стратс
> крутился в докер-контейнере, и не от рута. Кому от этого щастье,
> если все, к чему он имел доступ, поимел внезапно хацкер васья?

ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или нет, если за вас взялись вручную и цель слить данные, то скорее неважно какой там уровень защиты в системе после вскрытия калитки.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Критическая уязвимость в Apache Struts"  +/
Сообщение от пох on 06-Сен-17, 12:23 
> ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или нет,

ну опять же - а что за д..л писал автоматический скрипт?
Если он хотел просто спам с тебя порассылать, или как jumphost употребить - то и твои потери в любом случае невелики. А если это автоматический скрипт по поиску сливабельных ценных данных, то ему как раз в этом докере будет уютно и приятно, после автоперезапуска по графику (как это принято у контейнерных) ты и следов-то его не найдешь, а он уже все унес, что хотел.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

40. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Аноним (??) on 14-Сен-17, 01:55 
> ну опять же - а что за д..л писал автоматический скрипт?

Возможно достаточно примитивный и просто желавший денег без особых усилий.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

19. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Crazy Alex (ok) on 06-Сен-17, 12:21 
Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает? Занятно, что сказать. Я думал, оно умерло вместе с "домашними страничками".

Насчёт докеров - это было предположение, почему именно могло быть всё от рута на упомянутых vds. А так - о том и речь, что рут там или нет - разница невелика.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Критическая уязвимость в Apache Struts"  +/
Сообщение от пох on 06-Сен-17, 12:32 
> Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает?

атож!

> Занятно, что сказать. Я думал, оно умерло вместе с "домашними страничками".

щас посчитал - на моей "домашнестраничилке" 61 штук. А это ж даже не бизнес, так, шефская помощь соседнему колхозу в обмен на картошку. А то, откуда этих 61 выперли за неплатежеспособность - там счет на многие сотни и vds не одна.

> Насчёт докеров - это было предположение, почему именно могло быть всё от
> рута на упомянутых vds. А так - о том и речь,

я полагаю, дело в другом - чудо-разработчики подобных домашних страничек делают ЭТО под виндой (без всяких WSL), и от переноса на юниксы у них "все сломалось, ничего не работает, админы, за что вам зарплату платят". case issue и \ / ты как-нибудь им пофиксишь, а если этого недостаточно - скажи спасибо контейнерам, а то ж вообще непонятно, как с этим жить.

Забавно, что еще лет десять назад было бы по-другому - от рута хрен бы что работало, ломаясь в самых неожиданных местах.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

17. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Аноним (??) on 06-Сен-17, 12:14 
> Ну, вот как раз для вебовской VDS разница невелика - рута поломают
> или простого юзера, так что они могли быть даже где-то правы...
> Только на фиг такие прецеденты.

В смысле поломают рута? У вас ничего от рута не работает, 10-к сайтов с базами данных, сломать по идее можно www-data (или конкретного user-a, конкретную БД) что-то сделать дальше надо много ручного труда ( что дорого и нетривиально, у одного одни настройки у другого другие ) а вот если вы ломанули root-а то там можно действовать "автоматически"

p.s.Не говоря уже о разделении прав для разных сайтов.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Crazy Alex (ok) on 06-Сен-17, 12:28 
Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли и слить базу. Для этого хватит автоматики под www-data с головой. Тем более, что используется скорее всего ещё и какая-то стандартная CMS или фреймворк как минимум.

Разделение прав для разный сайтов на одной vds - поможет, но бывает редко - там, где есть смысл (то есть больше полутора посетителей), обычно в одну vds их не пихают. Хотя если контейнеры... но насколько они распространены в таких случаях - понятия не имею.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Аноним (??) on 06-Сен-17, 13:53 
> Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли и
> слить базу. Для этого хватит автоматики под www-data с головой. Тем
> более, что используется скорее всего ещё и какая-то стандартная CMS или
> фреймворк как минимум.

Обычно != всегда

> Разделение прав для разный сайтов на одной vds - поможет, но бывает
> редко - там, где есть смысл (то есть больше полутора посетителей),
> обычно в одну vds их не пихают. Хотя если контейнеры... но
> насколько они распространены в таких случаях - понятия не имею.

одна vds ~ 800р без стоимости рук, это вроде не много, но и микро-бизнес не миллионы приносит, а посещаемость большая для стандартных "хостингов php сайтов" они не тянут(не тянули, это и было причиной поселения в vds первого экземпляра).

Контейнеры в такой ситуации overhead это же не ваш личный xen-server с несколькими виртуалками :)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Критическая уязвимость в Apache Struts"  +2 +/
Сообщение от Аноним (??) on 06-Сен-17, 12:37 
> слетели права на папки
> а наша система оказалась чувствительной к семне прав.

Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

29. "Критическая уязвимость в Apache Struts"  –1 +/
Сообщение от Аноним (??) on 06-Сен-17, 13:54 
>> слетели права на папки
>> а наша система оказалась чувствительной к семне прав.
> Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете.

а вас в какой каталог занести?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

15. "Критическая уязвимость в Apache Struts"  +1 +/
Сообщение от пох on 06-Сен-17, 12:06 
> 95%

причем оставшиеся пять совершенно не понимают, зачем они это делают - вычитали в древних книжках что от рута работать низзя.

ЧТО, чорд подери, может быть такого ценного на, внимание - сервере бронирования авиабилетов -  кроме, сцук, самого, блжад, бронирования - как софта, так и его данных, вы там что - параллельно на одной виртуалке еще два десятка хостингов котиков в мариядeбиле завели?

Если вам поломали систему авиабронирования - будьте уверены, котики этих ребят не интересуют. А доступ к тазе банных у них _уже_есть_ - даже если это оракл на вообще другом конце шарика. Потому что он у системы бронирования был.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Crazy Alex (ok) on 06-Сен-17, 12:34 
Хм, я вот согласен, но для разнообразия - вот альтернативы:
1) случай, когда собственно сайт с базой на фиг не нужен (потому что там и так котики а не авиабилеты), а вот файрволл покрутить да поназапускать своих сервисов надо
2) с рутом шанс попасться таки гораздо меньше - логи там потереть аккуратно, руткит засунуть...
3) с рутом попытаться вылезти на хост (особенно если это контейнер, а не виртуализация). А там - другие жертвы рядом
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

26. "Критическая уязвимость в Apache Struts"  –1 +/
Сообщение от пох on 06-Сен-17, 13:23 
> Хм, я вот согласен, но для разнообразия - вот альтернативы:

ну, какие-то они все теоретические. На практике - struts штука тяжелая (ибо жабо), требует специальных знаний, а не наспех прочитанной книжки пехепе для дворников, и под котиков его вряд ли кто поставит, и в шаред-системы тоже. Скорее еще и отдельным файрволлом обтыкают (ибо верить в его надежность и без этой новости не приходится)
А если не под котиков - то надо срочно затыкать дырья, а не надеяться что к тебе пришли чужих котиков поназапускать, рута не найдут и с горя удалятся.

это, конечно, ни разу не совет всем забить и запускать томкэтов от рута, скорее - не сильно плакать по поводу рута, если уже запускаешь томкэт ;-)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Crazy Alex (ok) on 06-Сен-17, 13:30 
Да я по поводу рассказа о VDS и руте говорил, struts - тут да, всё понятно. Хотя для него вариант "тихо сидеть руткитом и собирать данные" резко становится интересным.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Критическая уязвимость в Apache Struts"  –1 +/
Сообщение от _ (??) on 06-Сен-17, 16:36 
Жаба безопасная! (С) Квааа
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Критическая уязвимость в Apache Struts"  +2 +/
Сообщение от виндотролль (ok) on 06-Сен-17, 17:17 
Да врали все пацаны. Из джавы можно даже rm -rf сделать. От рута.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Аноним (??) on 06-Сен-17, 19:45 
Жаба не течёт, лиса не тормозит, хромой не пухнет, плазма не падает, пульса не икает.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Критическая уязвимость в Apache Struts"  –1 +/
Сообщение от Очередной аноним on 07-Сен-17, 09:29 
и такие люди как ты называют себя инженерами... Причем тут жаба? Какой-то плагин в каком-то левом фреймворке (да, да, fortune 100) написанный криворукими (или невыспавшимися) быдлoкодерами принимает извне какой-то сериализованный объект, десериализует его на сервере и не анализируя что это за ява-класс без проверок запускает в работу. Ну чо, конечно ява виновата, не фреймворк. Ява должна была обрубать все такие возможности (сериализация/десериализация, RPC да и вообще работу с сетью и файловой системой) чтобы быдлoкодеры не могли левые фреймворки на ней писАть. Разрешить только цифры складывать. Ладно, ладно, еще и вычитать разрешим. Ой, а ну как переполнение будет. Нет, арифметику тоже запретим.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "Критическая уязвимость в Apache Struts"  +/
Сообщение от пох on 07-Сен-17, 15:30 
> Причем тут жаба?

при том, что жабоеды так пели, так пели - "у нас так не бывает, у нас язык нас страхует от ужасов указателей (других-то ужасов давно не бывает), у нас gc, у нас круто, а все остальные устарели на стодесять лет и им место на свалке"

мы им аж верить иногда начинали... потом, правда, слегка отпускало, и снова пробивало на ржач.

> Ява должна была обрубать все такие возможности

а чо, нет, оказываетсо? героической победы над указателями недостаточно? А как дысал, как дысал...

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Критическая уязвимость в Apache Struts"  +1 +/
Сообщение от лютый жабист__ on 08-Сен-17, 11:24 
>жабоеды так пели

Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а на несколько уровней выше в одном из 20 web-фреймворков.

Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы JSF.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Andrey Mitrofanov on 08-Сен-17, 11:50 
>>жабоеды так пели
> Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а
> на несколько уровней выше в одном из 20 web-фреймворков.
> Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы
> JSF.

Конечно готов! _Озвучить_. Но ты медленный. В соседней https://www.opennet.ru/openforum/vsluhforumID3/112178.html#0 [если меня склероз не обманывает] уже и озвучили, и модераторы потёрли, "пишу, мол, на C++14 -- web20 фрымворк".

Поспрашай там  --  тебе ответят!

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Критическая уязвимость в Apache Struts"  +1 +/
Сообщение от лютый жабист__ on 08-Сен-17, 13:56 
>пишу, мол, на C++14 -- web20 фрымворк

Сишники опять на 10 лет опоздали. JSF уже написали, причём  13 лет назад. ХЗ про веб2нольность в первых версиях, но несколько лет этому добру уже точно есть.
Промышленное качество, куча внедрений. ;) Я думаю, сишники к появлению web5.0 напишут этот свой "web20 фрымворк на C++14", а там опять переписывать на c++27 и web5.0 :)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

34. "Критическая уязвимость в Apache Struts"  +/
Сообщение от Аноним (??) on 07-Сен-17, 08:04 
небезопасная десериализация XML
https://www.youtube.com/watch?v=mdS4DnjpMkg
вот она какая эта безопасная джаба
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor