The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от opennews (ok), 24-Июл-22, 21:12 
В web-фреймворке Grails, предназначенном для разработки web-приложений в соответствии с парадигмой MVC на Java, Groovy и на других языках для JVM, выявлена уязвимость, позволяющая удалённо выполнить свой код в окружении, в котором выполняется web-приложение. Эксплуатация уязвимости производится через отправку специально оформленного запроса, предоставляющего атакующему доступ к ClassLoader. Проблема вызвана недоработкой в логике привязки данных (data-binding), которая используется как при создании объектов, так и при ручной привязке при помощи bindData. Проблема устранена в выпусках...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57545

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от erthink (ok), 24-Июл-22, 21:12 
ClassLoader в жабе почти как w32.sys и спулер в масдае - вечное...
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от ыы (?), 24-Июл-22, 22:07 
tzinfo я так понимаю тянут все кому не лень к себе?
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (3), 24-Июл-22, 22:39 
Мне кажется или проблема с путями была практически в каждом большом и не очень проекте и на разных языках? Помню точно на перл была, на пыхе, на руби и еще на чем-то (может раст, но не уверен)
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +4 +/
Сообщение от Аноним (4), 24-Июл-22, 22:45 
На расте такие косяки это первое дело. Куда ни плюнь, попадёшь. Ты же понимаешь, что дело не в языке, а в поклонниках этого языка. Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +3 +/
Сообщение от Аноним (6), 25-Июл-22, 00:24 
Покажите хотя бы 5 примеров
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (4), 25-Июл-22, 11:14 
> Покажите хотя бы 5 примеров

Напишите хотя бы 5 программ на расте, пока нет ни 1. Недавно в новостях проскакивало, что в поделках как раз эти уязвимости были. "Безопасный" язык, ага.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (6), 25-Июл-22, 12:13 
Я Раст не знаю, на работе пишу на java, kotlin и js
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  –1 +/
Сообщение от Аноним (4), 25-Июл-22, 12:20 
Ну, по-сути, ты знаешь только жс и пару его суб/супер сетов. Я не осуждаю, за это платят деньги, только о таких вот уязвимостях в той среде думать не принято. Есть 1000 и один способ уронить жава-приложуху изменениями в системе, иногда с полным разносом всего. Сишные программы как-то более устойчивы, разве что браузеры стремятся навернуться, но тоже понятно, кто их пишет.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (6), 25-Июл-22, 12:33 
Отлично. Абсолютно некомпетентный и самоуверенный opennet эксперт меня не осуждает.
Я польщена, честно.
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  –2 +/
Сообщение от Аноним (4), 25-Июл-22, 12:36 
Ну, воспринимай это как хочешь. Можешь даже отрицать, что жс с жавой всю свою историю воровали друг у друга. Твоя компетенция тоже очевидна.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +4 +/
Сообщение от Аноним (6), 25-Июл-22, 00:30 
Очередной opennet эксперт не понимает разницу между java и JavaScript?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  –2 +/
Сообщение от Аноним (4), 25-Июл-22, 11:12 
У очередной обезьянки бомбануло? Ну, судя по тому, как ты это написал. Где там хоть слово про жс. На жс вообще пишут те, кто не понимает, что такое чувствительность к регистру символов. Что с них можно спрашивать?
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от another_one (ok), 25-Июл-22, 11:49 
> Где там хоть слово про жс.

Биполярочка?
> Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (4), 25-Июл-22, 11:56 
Ну, во-первых, это нарицательное. А вот про жава там ни слова нет, естественно, что я сказал про жс, откуда все эти "программисты" и лезут.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +2 +/
Сообщение от Аноним (6), 25-Июл-22, 12:17 
Открою для opennet эксперта страшную такую. JavaScript регистрозависим
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

26. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (4), 25-Июл-22, 12:31 
Зато жс программисты об этом не знают, в итоге хрен запустишь приложуху на линуксе без костылей.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +1 +/
Сообщение от Аноним (6), 25-Июл-22, 12:24 
Что можно спросить с Николауса Вира разработчика регистронечувствительного Паскаля, многих других языков программирования, автора многих книг по программированию, обладателя премии Тьюринга я понимаю.
А что можно спросить с opennet эксперта?
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

28. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (4), 25-Июл-22, 12:34 
Опеннет-эксперты  хотя бы пишут софт и понимают какие распространённые косяки сегодня допускают, что позволяет их избежать. А что написал автор пачкаля, да такого, чтобы оно было актуально? Только угробил целые поколения программистов, а ведь из них могло вырасти что-то достойное.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +1 +/
Сообщение от Аноним (6), 25-Июл-22, 13:10 

И что вы написали, покажите.
Даже не сравнимое с Паскалем и Оберон. А просто хоть что то сложнее hello world
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  –1 +/
Сообщение от Аноним (4), 25-Июл-22, 13:34 
Неа, не хочу, да и не имеет значения. Что имеет значение, это забочусь ли я о будущих косяках, или поступаю как жс программисты где 99% работает, а остальное статистическая погрешность и доделает кто-нибудь другой. Когда это самая сложная и серьёзная часть, требующая значительной компетенции.

Не понимаю, зачем сравнивать что-то с мертворождёнными поделками с убогим и неудобным синтаксисом. Тот чувак всю жизнь жил тем, что засирал мозги наивным олухам. Это тоже надо навыки иметь, конечно. У меня таких определённо нет.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +1 +/
Сообщение от Анонии (?), 25-Июл-22, 17:24 
> Неа, не хочу, да и не имеет значения.

Ты путаешь «не хочу» и «не могу». Но для пубертата это нормально.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  –1 +/
Сообщение от Аноним (4), 25-Июл-22, 18:11 
Смотри, такие, как ты только и могут, что прибегать к ad hominem. Это о чём-то, да говорит.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (8), 25-Июл-22, 02:46 
Сразу видно человека не разбирающегося в теме
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

11. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +1 +/
Сообщение от Аноним (11), 25-Июл-22, 07:59 
Чел,Java и Javascript это два совершенно разных языка вообще-то
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

12. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +1 +/
Сообщение от Герострат (?), 25-Июл-22, 08:50 
Вот это разрыв
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +3 +/
Сообщение от Анончик (?), 25-Июл-22, 00:13 
Удивительно, думал Grails давно помер
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от anonymous (??), 25-Июл-22, 09:21 
Как и сам Ruby
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +2 +/
Сообщение от Аноним (9), 25-Июл-22, 03:34 
Зачем tzinfo, если есть Rust?

// b.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +1 +/
Сообщение от Аноним (6), 25-Июл-22, 07:35 
Динамическая загрузка классов из произвольного места, потенциальная уязвимость по определению.
При этом оно чаще всего не нужно, все классы которых нет в JRE, Gradle и maven добавляют в jar файл
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +2 +/
Сообщение от 244 (?), 25-Июл-22, 09:32 
Плагины.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (6), 25-Июл-22, 14:21 
Разверните, пожалуйста, вашу мысль более подробно
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от Аноним (39), 26-Июл-22, 23:25 
Коллега аноним пытается сказать, что ПО может поддерживать произвольные плагины по схеме "нашёл что понравилось, скачал из интернетов и положил рядом с программой", а реулизуют такую фичу часто по пути наименьшего сопротивления - просто загружая выполняемый код из файла по указанному пути.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от _ (??), 26-Июл-22, 05:50 
Йаимеюспрсить: это сишнаядырень или нет?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру