The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."  +/
Сообщение от opennews (ok), 21-Май-20, 22:21 
Опубликованы сведения об уязвимости (CVE-2020-9484) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет добиться выполнения кода на сервере через отправку специально оформленного запроса. Уязвимость устранена в выпусках Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 и 7.0.104...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53001

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от kknight (ok), 21-Май-20, 22:21   +/
Прекрасно. У нас в оборонке полно примеров, когда томкат поставляется как "сертифицированное СПО". Дырка там будет жить ещё долго)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #26

2. Сообщение от Онаним (?), 21-Май-20, 22:34   +/
По описанию - что-то суровое, типа автоматического выполнения кода из файлов с определённым расширением. Это примерно как .phar будет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от Онаним (?), 21-Май-20, 22:35   +/
Только в .phar надо было иметь возможность phar:// приписать, а тут похоже банально имя файла имеет значение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Нолекс (?), 22-Май-20, 02:25   –7 +/
Томкот вообще не нужен. Ни в оборонке, ни вообще. Что за де... личности его вообще пиарят? Уже лень делать нормальные веб-приложения?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8, #14

5. Сообщение от Gfdc (?), 22-Май-20, 03:07   +5 +/
А на чем сервлеты запускать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9

7. Сообщение от одмин (?), 22-Май-20, 07:01   +/
пффф... совсем недавно, ну относительно, в томкете была возможность доса через телнет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от лютый жабби__ (?), 22-Май-20, 11:27   +/
>Томкот вообще не нужен. Ни в оборонке, ни вообще

tomcat вообще везде, ибо шпринг заполонил... высунься из морозилки.

Ну и уязвимость несколько сферичновакуумная, в проде попробуй найди "PersistenceManager с хранилищем FileStore, в настройках которого параметр sessionAttributeValueClassNameFilter выставлен в значение "null" (по умолчанию, если не применяется SecurityManager) или выбран слабый фильтр, допускающий десериализацию объекта"...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

9. Сообщение от лютый жабби__ (?), 22-Май-20, 11:28   –1 +/
>А на чем сервлеты запускать?

CentOS + wildfly разумеется. Ну, если есть лишнее бабло, RHEL+JBOSS...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21, #29

10. Сообщение от Онаним (?), 22-Май-20, 11:49   –3 +/
Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11, #25

11. Сообщение от ALex_hha (ok), 22-Май-20, 12:46   –1 +/
> Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище

то ли дело элохтрон. Шо не проект - то искусство

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #12, #17

12. Сообщение от Онаним (?), 22-Май-20, 14:16   +1 +/
Элохтрон вообще сразу закапывать вместе с поделками на нём, и искать нормальный софт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #13, #19

13. Сообщение от Аноним (13), 22-Май-20, 17:48   +/
На чем писать предлагаете? Плюсы? Питон? Заказчику чаще всего вообще пофигу, как оно технически реализовано - бабки за фичи платят и UX без страданий. Это бизнес, а джавка как была про большие бабки 20 лет назад, так и еще столько же будет. А уязвимости есть везде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15

14. Сообщение от Аноним (13), 22-Май-20, 17:57   +1 +/
попробуй, живя в провинциальном городе, найти без релокации работу со строчкой в резюме "JAVA(JAKARTA) EE ONLY!!!!111". Такое чувство, будто комментит тайное братство джавистов за 50, которые опознают друг друга по татуировке EJB на предплечье.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16, #27

15. Сообщение от Онаним (?), 22-Май-20, 18:18   +1 +/
Читая вышеописанное, могу только предложить не писать ни на чём - мир станет чище.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от пох. (?), 22-Май-20, 23:22   –3 +/
Ну так не живи в жопе, не?

Это как негру в центральной африке жаловаться, что что-то спроса на жаба-программистов в его деревне нет.
Да тебя завтра разделают на жаркое для свадьбы старейшины, и запекут в соусе из местных жаб, беги оттуда, глупец!

Или уж срочно учись вместо этого бесполезного - выделывать шкуры для ритуального свадебного там-тама (импортозамещение, называетсо!) - тогда может его и закажут не из твоей шкуры.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #18

17. Сообщение от Lex (??), 23-Май-20, 08:17   +/
Настолько толсто, что тонко.
Электрон кнчн та ещё штука, но если пилить аналоги кроссплатформенных умеренно-нативных приложений на жабе, то едва ли они будут быстрее и скромнее по потреблению ресурсов.. и это даже не говоря о сложности и стоимости их дальнейшей поддержки итп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #34

18. Сообщение от Lex (??), 23-Май-20, 08:25   +/
На самом деле, просто времена жабы постепенно уходят и она потихоньку, но неотвратимо, катится туда, где ей и место - т.е на помойку.

Хотя, даже забавно, как иные её защищают, типо тру и вообще.
Её - самое что ни есть хиповое *** на момент своего появления, ещё и так и не ставшее чем-то легковесным и простым( если не говорить о совсем кастрированных версиях ), проигравшее битву за веб( привет, апплеты, безумно жрущее и тормозное *, на фоне которого даже жс был легким и шустрым ) даже в отсутствии серьезных соперников.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #22, #38

19. Сообщение от ALex_hha (ok), 23-Май-20, 11:58   +/
ну найди skype/slack на линух не на элохтроне
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20

20. Сообщение от Онаним (?), 23-Май-20, 14:29   +/
> ну найди skype/slack на линух не на элохтроне

Но зачем? (с)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #33

21. Сообщение от Аноним (21), 24-Май-20, 09:13   +/
Почему я должен запускать их в вайлдфлае каком-то ноунеймовом, про который я ни разу не слышал, если есть известный tomcat? Или там хотя бы glassfish?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от Аноним (21), 24-Май-20, 09:14   +/
Лучше уж апплеты, чем современный джс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #23

23. Сообщение от Lex (??), 24-Май-20, 21:53   +/
> Лучше уж апплеты, чем современный джс

Дооо.

(На винде):
Прибиваю браузер, и запускаю с пустой домашней страницей..
Через диспетчер задач прибиваю explorer.exe и всякое подобное..
...
И всё это только ради того, чтобы открыть веб-страницу с апплетом и посмотреть, что сиё поделие вообще из себя представляет...
Представляет обычную страницу какого-то каталога товаров с несколькими фильтрами и совершенно уродливыми кнопками и проч
Но сжирает начисто почти всю память и любое действие в ней сопровождается лагами и хорошей нагрузкой ЦП.
А сайты с js работали пусть и не идеально, но более чем хорошо на фоне этого недоразумения.
И это ещё старый и уродливый js с кучей проблем, ограничений и недоработок.

Веселые были времена.
128Мб ОЗУ, Celeron 900МГц, Geforce Mx 440 - вполне тянуло даже Serious Sam и  C&C: Generals.
Но для запуска какого-то чертова апплета приходилось прибивать даже процесс  эксплорера, т.к иначе происходил вылет из-за недостатка оперативки.

Хотя, чего я рассказываю.
Апплеты не были реальными конкурентами js, т.к речь на тот момент о разных весовых категориях - апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28

25. Сообщение от лютый жабби__ (?), 25-Май-20, 09:41   +/
>Шпринг, хибернейт... что ни поделка на них

Сейчас у всех хипсторов эластик без авторизации ) хотя наиболее "одаренные", работают и с носклями через hibernate, да...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

26. Сообщение от MVK (??), 25-Май-20, 11:29   +/
Tomcat под привилегированным пользователем с отключенным SecurityManager-ом запускают только имбецилы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #32

27. Сообщение от MVK (??), 25-Май-20, 11:34   +/
JavaEE не самый сложный технологический стек и те кто не сумел его осилить, да еще и гордится этим, вызывают сожаление
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #36

28. Сообщение от MVK (??), 25-Май-20, 11:37   +/
>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.

- кстати, давно что то не видно этого "победоносного" флэша, куда делась эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30

29. Сообщение от MVK (??), 25-Май-20, 11:40   +/
>wildfly разумеется

- а там такой дырки нет? или еще не нашли?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

30. Сообщение от Lex (??), 25-Май-20, 12:04   +/
>>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.
> - кстати, давно что то не видно этого "победоносного" флэша, куда делась
> эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?

Я и не говорю, что он крут. Но даже *** оказалось несравненно лучше жабашных апплетов )

А делось оно( флеши ).. скорее всего, не куда-то, а почему-то.
А если точнее, то постепенно отмирала по мере развития жс и функционала, предоставляемого ему браузерами.
Еще несколько лет назад ведь даже к вебкамере и микрофону можно было подключиться только через флеш( всм, не через жс ).
А теперь.. простенький жс-скрипт запилил, симпатичную страницу сверстал - и готова, по сути, "морда" кроссплатформенного приложение с вполне-себе неплохими возможностями по взаимодействию с пользователем.
Т.е по мере развития жс, надобность в штуках типо флеша естественным образом отмирает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31

31. Сообщение от MVK (??), 25-Май-20, 12:40   +/
> Но даже *** оказалось несравненно лучше жабашных апплетов )

- с таким же успехом Вы можете утверждать что IE оказался несравненно лучше чем NN, исчезновение которого с рынка потянуло на дно и активно развивавшиеся в нем апплеты

>А делось оно( флеши ).. скорее всего, не куда-то, а почему-то

- замените слово флэш на апплет и посмотрите выше про NN, также можно вспомнить продажу Sun со всеми потрохами, в связи с чем ряд направлений новыми владельцами был свернут. Но как историческое развитие апплетов можно рассматривать приложения под Android - идея та же: песочница и особым образом оформленное приложение.

Некоторые возможности апплетов до сих пор трудно чем то заменить - например возможность создавать сетевые соединения и использовать в них кастомное шифрование данных

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от Аноним (32), 25-Май-20, 18:08   +/
Так он и пишет "в оборонке". Армейский метод, такие дела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от ALex_hha (ok), 26-Май-20, 13:48   +/
> Но зачем? (с)

корпоративные стандарты, а не хотелки админа локалхоста

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #35

34. Сообщение от Карабьян (?), 26-Май-20, 15:04   +/
Вот-вот, этим критиканам кажется, что кто-т будет забесплатно пилить то, что будет работать на их не самой мощной конфигурации
Зы. Тоже люблю больше джаву, чм электрон
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

35. Сообщение от Онаним (?), 26-Май-20, 19:54   +/
> корпоративные стандарты, а не хотелки админа локалхоста

Линуха со скайпом? Эпичный вариант ужа с ежом, тут уже не "стандарты" получаются, а чьи-то хотелки в отрыве от реальности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #37

36. Сообщение от лютый жабби__ (?), 27-Май-20, 09:24   +/
>JavaEE не самый сложный технологический стек

Только мертвый уже... 95% вакансий про шпринг ( хотя можно вспомнить наблюдение "95% всего является..."

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

37. Сообщение от max (??), 30-Май-20, 14:54   +/
Именно Скайп на Линуксе и уже давно. Для работы часто нет альтернативы и тут не ты выбираешь.
При этом Скайп вполне работает неплохо и на электроне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от max (??), 30-Май-20, 14:59   +/
Лет 15 читаю как времена Java куда-то уходят, а он всё ещё самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать про это, пока он будет занимать первую строчку рейтингов :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #39

39. Сообщение от Lex (??), 30-Май-20, 17:18   +/
> Лет 15 читаю как времена Java куда-то уходят, а он всё ещё
> самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать
> про это, пока он будет занимать первую строчку рейтингов :)

Да, только вылетел из фронта со своими апплетами практически в отсутствии конкуренции, а ныне - заказчиками и разрабами все чаще и серьезней рассматриваются альтернативы ей( нода, питон.. и даже пых ).

п.с: первую строчку рейтингов для применения в вебе жаба не занимает( у неё на уровне асп.нэт ).
Возможно, вы смотрели какой-то очень специфический «рейтинг» или тот, в котором заодно считаются и все приложения под Андройд и модули для них :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру