The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"  +/
Сообщение от opennews (??), 17-Дек-24, 17:30 
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62424

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Дек-24, 17:30   –3 +/
> Страница на проприетарный confluence.

Про апач можно забыть. С таким отношением к спо.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #17

3. Сообщение от Аноним (1), 17-Дек-24, 17:35   +/
> в контейнере Apache Tomcat, запускаемом с правами root

Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от Аноним (5), 17-Дек-24, 17:38   +3 +/
> применялся в web-приложениях 65% компаний из списка Fortune 100

Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

5. Сообщение от Аноним (5), 17-Дек-24, 17:38   +2 +/
Наверно очень понадобился порт 80 вместо 8080.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #10

7. Сообщение от Аноним (7), 17-Дек-24, 17:39   +3 +/
> Apache Struts

Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #48

8. Сообщение от Аноним (8), 17-Дек-24, 17:39   +1 +/
Ты хотел написать рассматривался как нечто совсем надёжное.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от Аноним (8), 17-Дек-24, 17:40   +4 +/
Выросло поколение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от Аноним (1), 17-Дек-24, 17:41   +/
Для этого есть обратный прокси.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #13

12. Сообщение от Аноним (13), 17-Дек-24, 18:03   +4 +/
> Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root

Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.

Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 17-Дек-24, 18:06   +1 +/
Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18

15. Сообщение от Аноним (15), 17-Дек-24, 18:34   +1 +/
> Страница на проприетарный confluence.
> Про апач можно забыть. С таким отношением к спо.

Будто бы кому не наплевать, где там у них страница.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #39

17. Сообщение от Аноним (-), 17-Дек-24, 19:43    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

18. Сообщение от Аноним (18), 17-Дек-24, 19:45   +8 +/
Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что
- за одним 80 портом скорее всего будут хоститься несколько приложений
- нужно централизованно терминировать TLS
- нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой)
- унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #30

30. Сообщение от Аноним (13), 17-Дек-24, 22:39   –3 +/
И всё на одном сервере? Ну, дела… Спать не жарко?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #31

31. Сообщение от Аноним (31), 18-Дек-24, 02:58   +3 +/
Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35, #37, #49

35. Сообщение от 1 (??), 18-Дек-24, 09:12   +/
А причём тут кубертенис ? "Всё уже украдено до нас" (с)
На чём по твоему взлетел HA-Proxy ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от Аноним (37), 18-Дек-24, 10:07   +2 +/
Распределить сервисы по разным серверам можно без всякого кубернетеса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #47

38. Сообщение от Хейтер (?), 18-Дек-24, 12:03   +1 +/
1. Не запускать контейнер сервлетов (Tomcat/Jetty/и т п) под рутом

2. Запускать контейнер сервлетов со включенным SecurityManager-ом (жаль что запретили в Java 17, впрочем тех кто еще использует Struts, это вряд ли волнует) и ограничениями в java.io.FilePermission

Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (-), 18-Дек-24, 12:16   +/
>> Страница на проприетарный confluence.
>> Про апач можно забыть. С таким отношением к спо.
> Будто бы кому не наплевать, где там у них страница.

Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него что-нибудь покупать, и даже нахаляву брать - да ну нафиг. Если его процессы не работают даже для него самого - наверное, хреновый пекарь. И апач как продукт - тому подтверждение. Тормозной, жирный, оверинженернутый корпоравтиный монстр.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #46

44. Сообщение от YetAnotherOnanym (ok), 19-Дек-24, 00:33   +/
> ../../../../../

фейспалм.жпг... какая детсадовская ошибка!

Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Golangdev (?), 19-Дек-24, 02:39   +1 +/
> Apache Struts применялся в web-приложениях 65% компаний из списка Fortune 100
> данный фреймворк пользуется популярностью в корпоративных системах

забавно, что можно, оказывается, построить компанию уровня Fortune 100 на таком г-не.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

46. Сообщение от User (??), 19-Дек-24, 03:22   +/
Ну, разве что в подвально-ремесленном 18 веке. В современном мире всем настолько похрен, что ест технолог производства - безглютеновую выпечку из здорового питания, эклеры из кондитерской или просто что было в магазине-у-дома - что просто похрен, рецептура (и, как следствие, органолептические свойства продукции) от этого зависят ровным счётом "никак".
А, не - вру. Есть ещё любители Германа Стерлигова)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

47. Сообщение от User (??), 19-Дек-24, 04:06   +/
Ну в общем конечно да - но как то так получается, что с ним эксплуатировать в каком-никаком масштабе дешевле выходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

48. Сообщение от InuYasha (??), 19-Дек-24, 11:21   +/
Ничего не упустил. facepalm на волне хайпа по жабе 2000ных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

49. Сообщение от Аноним (49), 19-Дек-24, 18:11   +/
Начали с томката от рута чтобы 80й порт слушать, а закончили кубернетесом. Угарные вы ребята.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

50. Сообщение от Аноним (49), 19-Дек-24, 18:17   +/
Потому что софт — это неприятная необходимость ведения бизнеса в современном мире, а не самоцель как привыкли думать кодеры на зарплате у этого самого бизнеса. Работает? Инвойсы рассылает? Вот и чудненько! А то, что некрасиво или язык не благословленный — вообще до лампочки. Кому это кроме 3½ нердов интересно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру