Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"	+/–
Сообщение от opennews (??), 17-Дек-24, 17:30
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62424
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 17-Дек-24, 17:30	–3 +/–
> Страница на проприетарный confluence. Про апач можно забыть. С таким отношением к спо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #17

3. Сообщение от Аноним (1), 17-Дек-24, 17:35	+/–
> в контейнере Apache Tomcat, запускаемом с правами root Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от Аноним (5), 17-Дек-24, 17:38	+3 +/–
> применялся в web-приложениях 65% компаний из списка Fortune 100 Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

5. Сообщение от Аноним (5), 17-Дек-24, 17:38	+2 +/–
Наверно очень понадобился порт 80 вместо 8080.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #10

7. Сообщение от Аноним (7), 17-Дек-24, 17:39	+3 +/–
> Apache Struts Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #48

8. Сообщение от Аноним (8), 17-Дек-24, 17:39	+1 +/–
Ты хотел написать рассматривался как нечто совсем надёжное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от Аноним (8), 17-Дек-24, 17:40	+4 +/–
Выросло поколение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от Аноним (1), 17-Дек-24, 17:41	+/–
Для этого есть обратный прокси.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #13

12. Сообщение от Аноним (13), 17-Дек-24, 18:03	+4 +/–
> Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 17-Дек-24, 18:06	+1 +/–
Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18

15. Сообщение от Аноним (15), 17-Дек-24, 18:34	+1 +/–
> Страница на проприетарный confluence. > Про апач можно забыть. С таким отношением к спо. Будто бы кому не наплевать, где там у них страница.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #39

17. Сообщение от Аноним (-), 17-Дек-24, 19:43    Скрыто ботом-модератором	+/–
> Про апач можно забыть. С таким отношением к спо. Вот бы зааплоадить им что-нибудь веселого за это... :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

18. Сообщение от Аноним (18), 17-Дек-24, 19:45	+8 +/–
Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что - за одним 80 портом скорее всего будут хоститься несколько приложений - нужно централизованно терминировать TLS - нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой) - унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #30

30. Сообщение от Аноним (13), 17-Дек-24, 22:39	–3 +/–
И всё на одном сервере? Ну, дела… Спать не жарко?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #31

31. Сообщение от Аноним (31), 18-Дек-24, 02:58	+3 +/–
Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35, #37, #49

35. Сообщение от 1 (??), 18-Дек-24, 09:12	+/–
А причём тут кубертенис ? "Всё уже украдено до нас" (с) На чём по твоему взлетел HA-Proxy ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от Аноним (37), 18-Дек-24, 10:07	+2 +/–
Распределить сервисы по разным серверам можно без всякого кубернетеса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #47

38. Сообщение от Хейтер (?), 18-Дек-24, 12:03	+1 +/–
1. Не запускать контейнер сервлетов (Tomcat/Jetty/и т п) под рутом 2. Запускать контейнер сервлетов со включенным SecurityManager-ом (жаль что запретили в Java 17, впрочем тех кто еще использует Struts, это вряд ли волнует) и ограничениями в java.io.FilePermission
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (-), 18-Дек-24, 12:16	+/–
>> Страница на проприетарный confluence. >> Про апач можно забыть. С таким отношением к спо. > Будто бы кому не наплевать, где там у них страница. Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него что-нибудь покупать, и даже нахаляву брать - да ну нафиг. Если его процессы не работают даже для него самого - наверное, хреновый пекарь. И апач как продукт - тому подтверждение. Тормозной, жирный, оверинженернутый корпоравтиный монстр.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #46

44. Сообщение от YetAnotherOnanym (ok), 19-Дек-24, 00:33	+/–
> ../../../../../ фейспалм.жпг... какая детсадовская ошибка!
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Golangdev (?), 19-Дек-24, 02:39	+1 +/–
> Apache Struts применялся в web-приложениях 65% компаний из списка Fortune 100 > данный фреймворк пользуется популярностью в корпоративных системах забавно, что можно, оказывается, построить компанию уровня Fortune 100 на таком г-не.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

46. Сообщение от User (??), 19-Дек-24, 03:22	+/–
Ну, разве что в подвально-ремесленном 18 веке. В современном мире всем настолько похрен, что ест технолог производства - безглютеновую выпечку из здорового питания, эклеры из кондитерской или просто что было в магазине-у-дома - что просто похрен, рецептура (и, как следствие, органолептические свойства продукции) от этого зависят ровным счётом "никак". А, не - вру. Есть ещё любители Германа Стерлигова)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

47. Сообщение от User (??), 19-Дек-24, 04:06	+/–
Ну в общем конечно да - но как то так получается, что с ним эксплуатировать в каком-никаком масштабе дешевле выходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

48. Сообщение от InuYasha (??), 19-Дек-24, 11:21	+/–
Ничего не упустил. facepalm на волне хайпа по жабе 2000ных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

49. Сообщение от Аноним (49), 19-Дек-24, 18:11	+/–
Начали с томката от рута чтобы 80й порт слушать, а закончили кубернетесом. Угарные вы ребята.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

50. Сообщение от Аноним (49), 19-Дек-24, 18:17	+/–
Потому что софт — это неприятная необходимость ведения бизнеса в современном мире, а не самоцель как привыкли думать кодеры на зарплате у этого самого бизнеса. Работает? Инвойсы рассылает? Вот и чудненько! А то, что некрасиво или язык не благословленный — вообще до лампочки. Кому это кроме 3½ нердов интересно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема