The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость в устаревших выпусках Apache Tomcat, которая може..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от opennews (??) on 11-Сен-14, 10:27 
Раскрыта (http://seclists.org/fulldisclosure/2014/Sep/34) информация об опасной уязвимости (CVE-2013-4444) в контейнере для выполнения JSP-страниц и Java-сервлетов Apache Tomcat, позволяющей неаутентифицированнму злоумышленнику организовать удалённое выполнение кода на сервере. При определённом стечении обстоятельств атакующий может загрузить произвольный JSP-код на сервер и инициировать его выполнение. Необходимым условием для проведения атаки является использование в приложении функциональности Servlet 3.0 File Upload, включение  JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP. Полноценная эксплуатация возможна вкупе с уязвимостью в  классе java.io.File, которая присутствует в Oracle Java 1.7.0 update 25 и более ранних выпусках.


Проблема проявляется в выпусках Apache Tomcat с 7.0.0 по 7.0.39 и была устранена в Tomcat 7.0.40 без сообщения о наличии уязвимости. В настоящее время на странице (http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tom...) со списком исправлений в Tomcat 7.0.40 присутствуют сведения об уязвимости, но судя по
копии (https://web.archive.org/web/20140907203441/http://tomcat.apa...) на web.archive.org, сделанной несколько дней назад, данные о проблеме добавлены задним числом. Исправление в 2013 году внесено (http://svn.apache.org/viewvc?view=revision&revision=1470437) под видом чистки неиспользуемого кода.

URL: http://seclists.org/fulldisclosure/2014/Sep/34
Новость: https://www.opennet.ru/opennews/art.shtml?num=40563

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +2 +/
Сообщение от Аноним (??) on 11-Сен-14, 10:27 
Java, энтерпрайз
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от Аноним (??) on 11-Сен-14, 14:48 
Опубликовали бы ещё тех кто поймал её, это надо быть героем что-бы так настроить :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от MVK (??) on 13-Сен-14, 12:32 
> Java, энтерпрайз

"включение  JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP"

- если кто-то использует такие настройки в продкшене, то его просто необходимо поиметь, в образовательных целях. У такого чудика еще и Tomcat под рутом небось запущен.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от MidNighter (ok) on 11-Сен-14, 11:17 
судя по количеству новостей тема java на опеннет начинает раскрываться )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от vitalif (ok) on 11-Сен-14, 12:43 
И ведь в дебиане не исправили ещё!..

https://security-tracker.debian.org/tracker/CVE-2013-4444

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от Аноним (??) on 11-Сен-14, 21:11 
Jetty?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от Аноним (??) on 11-Сен-14, 21:13 
> И ведь в дебиане не исправили ещё!..
> https://security-tracker.debian.org/tracker/CVE-2013-4444

http://zeroturnaround.com/rebellabs/the-great-java-applicati.../

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от Аноним (??) on 11-Сен-14, 14:14 
мда, сейчас для ботнетов эта уязвимость просто подарок, ибо яву и приложения мало кто обновляет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от MidNighter (ok) on 11-Сен-14, 14:26 
ну не всё так страшно как вы пишишите, Tomcat и Java обновятся через штатные обновления реп на Linux системах.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от Аноним (??) on 11-Сен-14, 14:49 
> мда, сейчас для ботнетов эта уязвимость просто подарок, ибо яву и приложения
> мало кто обновляет.

Так сильно "недефолтная" настройка

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Уязвимость в устаревших выпусках Apache Tomcat, которая може..."  +/
Сообщение от umbr (ok) on 13-Сен-14, 10:58 
Очередной анекдот про критическую уязвимость в Томкате :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor