The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo"  +/
Сообщение от opennews (ok), 24-Июл-22, 21:12 
В web-фреймворке Grails, предназначенном для разработки web-приложений в соответствии с парадигмой MVC на Java, Groovy и на других языках для JVM, выявлена уязвимость, позволяющая удалённо выполнить свой код в окружении, в котором выполняется web-приложение. Эксплуатация уязвимости производится через отправку специально оформленного запроса, предоставляющего атакующему доступ к ClassLoader. Проблема вызвана недоработкой в логике привязки данных (data-binding), которая используется как при создании объектов, так и при ручной привязке при помощи bindData. Проблема устранена в выпусках...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57545

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от erthink (ok), 24-Июл-22, 21:12   +/
ClassLoader в жабе почти как w32.sys и спулер в масдае - вечное...
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от ыы (?), 24-Июл-22, 22:07   +/
tzinfo я так понимаю тянут все кому не лень к себе?
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 24-Июл-22, 22:39   +/
Мне кажется или проблема с путями была практически в каждом большом и не очень проекте и на разных языках? Помню точно на перл была, на пыхе, на руби и еще на чем-то (может раст, но не уверен)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 24-Июл-22, 22:45   +4 +/
На расте такие косяки это первое дело. Куда ни плюнь, попадёшь. Ты же понимаешь, что дело не в языке, а в поклонниках этого языка. Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #7, #8, #11, #12

5. Сообщение от Анончик (?), 25-Июл-22, 00:13   +3 +/
Удивительно, думал Grails давно помер
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

6. Сообщение от Аноним (6), 25-Июл-22, 00:24   +3 +/
Покажите хотя бы 5 примеров
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16

7. Сообщение от Аноним (6), 25-Июл-22, 00:30   +4 +/
Очередной opennet эксперт не понимает разницу между java и JavaScript?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15

8. Сообщение от Аноним (8), 25-Июл-22, 02:46   +/
Сразу видно человека не разбирающегося в теме
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от Аноним (9), 25-Июл-22, 03:34   +2 +/
Зачем tzinfo, если есть Rust?

// b.

Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (6), 25-Июл-22, 07:35   +1 +/
Динамическая загрузка классов из произвольного места, потенциальная уязвимость по определению.
При этом оно чаще всего не нужно, все классы которых нет в JRE, Gradle и maven добавляют в jar файл
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

11. Сообщение от Аноним (11), 25-Июл-22, 07:59   +1 +/
Чел,Java и Javascript это два совершенно разных языка вообще-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

12. Сообщение от Герострат (?), 25-Июл-22, 08:50   +1 +/
Вот это разрыв
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

13. Сообщение от anonymous (??), 25-Июл-22, 09:21   +/
Как и сам Ruby
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от 244 (?), 25-Июл-22, 09:32   +2 +/
Плагины.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #33

15. Сообщение от Аноним (4), 25-Июл-22, 11:12   –2 +/
У очередной обезьянки бомбануло? Ну, судя по тому, как ты это написал. Где там хоть слово про жс. На жс вообще пишут те, кто не понимает, что такое чувствительность к регистру символов. Что с них можно спрашивать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #17, #22, #25

16. Сообщение от Аноним (4), 25-Июл-22, 11:14   +/
> Покажите хотя бы 5 примеров

Напишите хотя бы 5 программ на расте, пока нет ни 1. Недавно в новостях проскакивало, что в поделках как раз эти уязвимости были. "Безопасный" язык, ага.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #21

17. Сообщение от another_one (ok), 25-Июл-22, 11:49   +/
> Где там хоть слово про жс.

Биполярочка?
> Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #18

18. Сообщение от Аноним (4), 25-Июл-22, 11:56   +/
Ну, во-первых, это нарицательное. А вот про жава там ни слова нет, естественно, что я сказал про жс, откуда все эти "программисты" и лезут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

21. Сообщение от Аноним (6), 25-Июл-22, 12:13   +/
Я Раст не знаю, на работе пишу на java, kotlin и js
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #24

22. Сообщение от Аноним (6), 25-Июл-22, 12:17   +2 +/
Открою для opennet эксперта страшную такую. JavaScript регистрозависим
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #26

24. Сообщение от Аноним (4), 25-Июл-22, 12:20   –1 +/
Ну, по-сути, ты знаешь только жс и пару его суб/супер сетов. Я не осуждаю, за это платят деньги, только о таких вот уязвимостях в той среде думать не принято. Есть 1000 и один способ уронить жава-приложуху изменениями в системе, иногда с полным разносом всего. Сишные программы как-то более устойчивы, разве что браузеры стремятся навернуться, но тоже понятно, кто их пишет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #27

25. Сообщение от Аноним (6), 25-Июл-22, 12:24   +1 +/
Что можно спросить с Николауса Вира разработчика регистронечувствительного Паскаля, многих других языков программирования, автора многих книг по программированию, обладателя премии Тьюринга я понимаю.
А что можно спросить с opennet эксперта?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #28

26. Сообщение от Аноним (4), 25-Июл-22, 12:31   +/
Зато жс программисты об этом не знают, в итоге хрен запустишь приложуху на линуксе без костылей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

27. Сообщение от Аноним (6), 25-Июл-22, 12:33   +/
Отлично. Абсолютно некомпетентный и самоуверенный opennet эксперт меня не осуждает.
Я польщена, честно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #29

28. Сообщение от Аноним (4), 25-Июл-22, 12:34   +/
Опеннет-эксперты  хотя бы пишут софт и понимают какие распространённые косяки сегодня допускают, что позволяет их избежать. А что написал автор пачкаля, да такого, чтобы оно было актуально? Только угробил целые поколения программистов, а ведь из них могло вырасти что-то достойное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #31

29. Сообщение от Аноним (4), 25-Июл-22, 12:36   –2 +/
Ну, воспринимай это как хочешь. Можешь даже отрицать, что жс с жавой всю свою историю воровали друг у друга. Твоя компетенция тоже очевидна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

31. Сообщение от Аноним (6), 25-Июл-22, 13:10   +1 +/

И что вы написали, покажите.
Даже не сравнимое с Паскалем и Оберон. А просто хоть что то сложнее hello world
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #32

32. Сообщение от Аноним (4), 25-Июл-22, 13:34   –1 +/
Неа, не хочу, да и не имеет значения. Что имеет значение, это забочусь ли я о будущих косяках, или поступаю как жс программисты где 99% работает, а остальное статистическая погрешность и доделает кто-нибудь другой. Когда это самая сложная и серьёзная часть, требующая значительной компетенции.

Не понимаю, зачем сравнивать что-то с мертворождёнными поделками с убогим и неудобным синтаксисом. Тот чувак всю жизнь жил тем, что засирал мозги наивным олухам. Это тоже надо навыки иметь, конечно. У меня таких определённо нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #36

33. Сообщение от Аноним (6), 25-Июл-22, 14:21   +/
Разверните, пожалуйста, вашу мысль более подробно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #39

36. Сообщение от Анонии (?), 25-Июл-22, 17:24   +1 +/
> Неа, не хочу, да и не имеет значения.

Ты путаешь «не хочу» и «не могу». Но для пубертата это нормально.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #37

37. Сообщение от Аноним (4), 25-Июл-22, 18:11   –1 +/
Смотри, такие, как ты только и могут, что прибегать к ad hominem. Это о чём-то, да говорит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

38. Сообщение от _ (??), 26-Июл-22, 05:50   +/
Йаимеюспрсить: это сишнаядырень или нет?
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 26-Июл-22, 23:25   +/
Коллега аноним пытается сказать, что ПО может поддерживать произвольные плагины по схеме "нашёл что понравилось, скачал из интернетов и положил рядом с программой", а реулизуют такую фичу часто по пути наименьшего сопротивления - просто загружая выполняемый код из файла по указанному пути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру