The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от opennews (ok), 21-Май-20, 22:21 
Опубликованы сведения об уязвимости (CVE-2020-9484) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет добиться выполнения кода на сервере через отправку специально оформленного запроса. Уязвимость устранена в выпусках Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 и 7.0.104...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53001

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от kknight (ok), 21-Май-20, 22:21 
Прекрасно. У нас в оборонке полно примеров, когда томкат поставляется как "сертифицированное СПО". Дырка там будет жить ещё долго)
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от одмин (?), 22-Май-20, 07:01 
пффф... совсем недавно, ну относительно, в томкете была возможность доса через телнет
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от MVK (??), 25-Май-20, 11:29 
Tomcat под привилегированным пользователем с отключенным SecurityManager-ом запускают только имбецилы
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

32. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Аноним (32), 25-Май-20, 18:08 
Так он и пишет "в оборонке". Армейский метод, такие дела.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Онаним (?), 21-Май-20, 22:34 
По описанию - что-то суровое, типа автоматического выполнения кода из файлов с определённым расширением. Это примерно как .phar будет.
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Онаним (?), 21-Май-20, 22:35 
Только в .phar надо было иметь возможность phar:// приписать, а тут похоже банально имя файла имеет значение.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  –7 +/
Сообщение от Нолекс (?), 22-Май-20, 02:25 
Томкот вообще не нужен. Ни в оборонке, ни вообще. Что за де... личности его вообще пиарят? Уже лень делать нормальные веб-приложения?
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +5 +/
Сообщение от Gfdc (?), 22-Май-20, 03:07 
А на чем сервлеты запускать?
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  –1 +/
Сообщение от лютый жабби__ (?), 22-Май-20, 11:28 
>А на чем сервлеты запускать?

CentOS + wildfly разумеется. Ну, если есть лишнее бабло, RHEL+JBOSS...

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Аноним (21), 24-Май-20, 09:13 
Почему я должен запускать их в вайлдфлае каком-то ноунеймовом, про который я ни разу не слышал, если есть известный tomcat? Или там хотя бы glassfish?
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от MVK (??), 25-Май-20, 11:40 
>wildfly разумеется

- а там такой дырки нет? или еще не нашли?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

8. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от лютый жабби__ (?), 22-Май-20, 11:27 
>Томкот вообще не нужен. Ни в оборонке, ни вообще

tomcat вообще везде, ибо шпринг заполонил... высунься из морозилки.

Ну и уязвимость несколько сферичновакуумная, в проде попробуй найди "PersistenceManager с хранилищем FileStore, в настройках которого параметр sessionAttributeValueClassNameFilter выставлен в значение "null" (по умолчанию, если не применяется SecurityManager) или выбран слабый фильтр, допускающий десериализацию объекта"...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  –3 +/
Сообщение от Онаним (?), 22-Май-20, 11:49 
Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  –1 +/
Сообщение от ALex_hha (ok), 22-Май-20, 12:46 
> Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище

то ли дело элохтрон. Шо не проект - то искусство

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +1 +/
Сообщение от Онаним (?), 22-Май-20, 14:16 
Элохтрон вообще сразу закапывать вместе с поделками на нём, и искать нормальный софт.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Аноним (13), 22-Май-20, 17:48 
На чем писать предлагаете? Плюсы? Питон? Заказчику чаще всего вообще пофигу, как оно технически реализовано - бабки за фичи платят и UX без страданий. Это бизнес, а джавка как была про большие бабки 20 лет назад, так и еще столько же будет. А уязвимости есть везде.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +1 +/
Сообщение от Онаним (?), 22-Май-20, 18:18 
Читая вышеописанное, могу только предложить не писать ни на чём - мир станет чище.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от ALex_hha (ok), 23-Май-20, 11:58 
ну найди skype/slack на линух не на элохтроне
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

20. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Онаним (?), 23-Май-20, 14:29 
> ну найди skype/slack на линух не на элохтроне

Но зачем? (с)

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от ALex_hha (ok), 26-Май-20, 13:48 
> Но зачем? (с)

корпоративные стандарты, а не хотелки админа локалхоста

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Онаним (?), 26-Май-20, 19:54 
> корпоративные стандарты, а не хотелки админа локалхоста

Линуха со скайпом? Эпичный вариант ужа с ежом, тут уже не "стандарты" получаются, а чьи-то хотелки в отрыве от реальности.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Lex (??), 23-Май-20, 08:17 
Настолько толсто, что тонко.
Электрон кнчн та ещё штука, но если пилить аналоги кроссплатформенных умеренно-нативных приложений на жабе, то едва ли они будут быстрее и скромнее по потреблению ресурсов.. и это даже не говоря о сложности и стоимости их дальнейшей поддержки итп.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

34. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Карабьян (?), 26-Май-20, 15:04 
Вот-вот, этим критиканам кажется, что кто-т будет забесплатно пилить то, что будет работать на их не самой мощной конфигурации
Зы. Тоже люблю больше джаву, чм электрон
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от лютый жабби__ (?), 25-Май-20, 09:41 
>Шпринг, хибернейт... что ни поделка на них

Сейчас у всех хипсторов эластик без авторизации ) хотя наиболее "одаренные", работают и с носклями через hibernate, да...

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

14. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +1 +/
Сообщение от Аноним (13), 22-Май-20, 17:57 
попробуй, живя в провинциальном городе, найти без релокации работу со строчкой в резюме "JAVA(JAKARTA) EE ONLY!!!!111". Такое чувство, будто комментит тайное братство джавистов за 50, которые опознают друг друга по татуировке EJB на предплечье.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

16. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  –3 +/
Сообщение от пох. (?), 22-Май-20, 23:22 
Ну так не живи в жопе, не?

Это как негру в центральной африке жаловаться, что что-то спроса на жаба-программистов в его деревне нет.
Да тебя завтра разделают на жаркое для свадьбы старейшины, и запекут в соусе из местных жаб, беги оттуда, глупец!

Или уж срочно учись вместо этого бесполезного - выделывать шкуры для ритуального свадебного там-тама (импортозамещение, называетсо!) - тогда может его и закажут не из твоей шкуры.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Lex (??), 23-Май-20, 08:25 
На самом деле, просто времена жабы постепенно уходят и она потихоньку, но неотвратимо, катится туда, где ей и место - т.е на помойку.

Хотя, даже забавно, как иные её защищают, типо тру и вообще.
Её - самое что ни есть хиповое *** на момент своего появления, ещё и так и не ставшее чем-то легковесным и простым( если не говорить о совсем кастрированных версиях ), проигравшее битву за веб( привет, апплеты, безумно жрущее и тормозное *, на фоне которого даже жс был легким и шустрым ) даже в отсутствии серьезных соперников.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Аноним (21), 24-Май-20, 09:14 
Лучше уж апплеты, чем современный джс
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Lex (??), 24-Май-20, 21:53 
> Лучше уж апплеты, чем современный джс

Дооо.

(На винде):
Прибиваю браузер, и запускаю с пустой домашней страницей..
Через диспетчер задач прибиваю explorer.exe и всякое подобное..
...
И всё это только ради того, чтобы открыть веб-страницу с апплетом и посмотреть, что сиё поделие вообще из себя представляет...
Представляет обычную страницу какого-то каталога товаров с несколькими фильтрами и совершенно уродливыми кнопками и проч
Но сжирает начисто почти всю память и любое действие в ней сопровождается лагами и хорошей нагрузкой ЦП.
А сайты с js работали пусть и не идеально, но более чем хорошо на фоне этого недоразумения.
И это ещё старый и уродливый js с кучей проблем, ограничений и недоработок.

Веселые были времена.
128Мб ОЗУ, Celeron 900МГц, Geforce Mx 440 - вполне тянуло даже Serious Sam и  C&C: Generals.
Но для запуска какого-то чертова апплета приходилось прибивать даже процесс  эксплорера, т.к иначе происходил вылет из-за недостатка оперативки.

Хотя, чего я рассказываю.
Апплеты не были реальными конкурентами js, т.к речь на тот момент о разных весовых категориях - апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от MVK (??), 25-Май-20, 11:37 
>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.

- кстати, давно что то не видно этого "победоносного" флэша, куда делась эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от Lex (??), 25-Май-20, 12:04 
>>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.
> - кстати, давно что то не видно этого "победоносного" флэша, куда делась
> эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?

Я и не говорю, что он крут. Но даже *** оказалось несравненно лучше жабашных апплетов )

А делось оно( флеши ).. скорее всего, не куда-то, а почему-то.
А если точнее, то постепенно отмирала по мере развития жс и функционала, предоставляемого ему браузерами.
Еще несколько лет назад ведь даже к вебкамере и микрофону можно было подключиться только через флеш( всм, не через жс ).
А теперь.. простенький жс-скрипт запилил, симпатичную страницу сверстал - и готова, по сути, "морда" кроссплатформенного приложение с вполне-себе неплохими возможностями по взаимодействию с пользователем.
Т.е по мере развития жс, надобность в штуках типо флеша естественным образом отмирает.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от MVK (??), 25-Май-20, 12:40 
> Но даже *** оказалось несравненно лучше жабашных апплетов )

- с таким же успехом Вы можете утверждать что IE оказался несравненно лучше чем NN, исчезновение которого с рынка потянуло на дно и активно развивавшиеся в нем апплеты

>А делось оно( флеши ).. скорее всего, не куда-то, а почему-то

- замените слово флэш на апплет и посмотрите выше про NN, также можно вспомнить продажу Sun со всеми потрохами, в связи с чем ряд направлений новыми владельцами был свернут. Но как историческое развитие апплетов можно рассматривать приложения под Android - идея та же: песочница и особым образом оформленное приложение.

Некоторые возможности апплетов до сих пор трудно чем то заменить - например возможность создавать сетевые соединения и использовать в них кастомное шифрование данных

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от MVK (??), 25-Май-20, 11:34 
JavaEE не самый сложный технологический стек и те кто не сумел его осилить, да еще и гордится этим, вызывают сожаление
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

36. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от лютый жабби__ (?), 27-Май-20, 09:24 
>JavaEE не самый сложный технологический стек

Только мертвый уже... 95% вакансий про шпринг ( хотя можно вспомнить наблюдение "95% всего является..."

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру