The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в Apache Struts, позволяющая выполнить код на сервере

17.12.2024 17:10

В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы МVС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor для загрузки файлов на сервер.

Уязвимость вызвана отсутствием должной проверки параметров, передаваемых при загрузке файлов. При наличии доступа к функциям загрузки файлов, атакующий может указать значение вида "../../../../../webapps/ROOT" и добиться сохранения файла за пределами каталога для хранения загружаемых данных (прототип эксплоита). Получив возможность записи файлов в произвольные части ФС можно организовать выполнение своих команд на сервере, перезаписав скрипты или файлы конфигурации, насколько это позволяют права пользователя, под которым выполняется web-приложение. Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, атакующий может получить привилегированный доступ в систему.

Уязвимости в Apache Struts имеют значение, так как данный фреймворк пользуется популярностью в корпоративных системах, доступных через web. По статистике RedMonk фреймворк Apache Struts применялся в web-приложениях 65% компаний из списка Fortune 100. В 2017 году атака на информационную систему компании Equifax, использующую уязвимую версию Apache Struts, привела к утечке персональных данных 143 млн жителей США.

  1. Главная ссылка к новости (https://blog.qualys.com/vulner...)
  2. OpenNews: WordPress и Apache Struts среди web-платформ лидируют по числу уязвимостей с эксплоитами
  3. OpenNews: Критическая уязвимость в Apache Struts
  4. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  5. OpenNews: Критическая уязвимость в Apache Struts
  6. OpenNews: Волна взломов сайтов через неисправленную уязвимость в Apache Struts
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62424-apache
Ключевые слова: apache, struts
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 17:30, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Страница на проприетарный confluence.

    Про апач можно забыть. С таким отношением к спо.

     
     
  • 2.15, Аноним (15), 18:34, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Страница на проприетарный confluence.
    > Про апач можно забыть. С таким отношением к спо.

    Будто бы кому не наплевать, где там у них страница.

     
     
  • 3.39, Аноним (-), 12:16, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Страница на проприетарный confluence.
    >> Про апач можно забыть. С таким отношением к спо.
    > Будто бы кому не наплевать, где там у них страница.

    Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него что-нибудь покупать, и даже нахаляву брать - да ну нафиг. Если его процессы не работают даже для него самого - наверное, хреновый пекарь. И апач как продукт - тому подтверждение. Тормозной, жирный, оверинженернутый корпоравтиный монстр.

     
     
  • 4.46, User (??), 03:22, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, разве что в подвально-ремесленном 18 веке. В современном мире всем настолько похрен, что ест технолог производства - безглютеновую выпечку из здорового питания, эклеры из кондитерской или просто что было в магазине-у-дома - что просто похрен, рецептура (и, как следствие, органолептические свойства продукции) от этого зависят ровным счётом "никак".
    А, не - вру. Есть ещё любители Германа Стерлигова)
     
  • 2.17, Аноним (-), 19:43, 17/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.3, Аноним (1), 17:35, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > в контейнере Apache Tomcat, запускаемом с правами root

    Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?

     
     
  • 2.5, Аноним (5), 17:38, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наверно очень понадобился порт 80 вместо 8080.
     
     
  • 3.10, Аноним (1), 17:41, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого есть обратный прокси.
     
     
  • 4.13, Аноним (13), 18:06, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.
     
     
  • 5.18, Аноним (18), 19:45, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что
    - за одним 80 портом скорее всего будут хоститься несколько приложений
    - нужно централизованно терминировать TLS
    - нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой)
    - унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.
     
     
  • 6.30, Аноним (13), 22:39, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И всё на одном сервере? Ну, дела… Спать не жарко?
     
     
  • 7.31, Аноним (31), 02:58, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.
     
     
  • 8.35, 1 (??), 09:12, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А причём тут кубертенис Всё уже украдено до нас с На чём по твоему взлете... текст свёрнут, показать
     
  • 8.37, Аноним (37), 10:07, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Распределить сервисы по разным серверам можно без всякого кубернетеса ... текст свёрнут, показать
     
     
  • 9.47, User (??), 04:06, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну в общем конечно да - но как то так получается, что с ним эксплуатировать в ка... текст свёрнут, показать
     
  • 8.49, Аноним (49), 18:11, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Начали с томката от рута чтобы 80й порт слушать, а закончили кубернетесом Угарн... текст свёрнут, показать
     

  • 1.4, Аноним (5), 17:38, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > применялся в web-приложениях 65% компаний из списка Fortune 100

    Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.

     
     
  • 2.8, Аноним (8), 17:39, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты хотел написать рассматривался как нечто совсем надёжное.  
     

  • 1.7, Аноним (7), 17:39, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Apache Struts

    Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.

     
     
  • 2.9, Аноним (8), 17:40, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Выросло поколение.
     
  • 2.48, InuYasha (??), 11:21, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не упустил. facepalm на волне хайпа по жабе 2000ных.
     

  • 1.12, Аноним (13), 18:03, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root

    Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.

     
  • 1.38, Хейтер (?), 12:03, 18/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    1. Не запускать контейнер сервлетов (Tomcat/Jetty/и т п) под рутом

    2. Запускать контейнер сервлетов со включенным SecurityManager-ом (жаль что запретили в Java 17, впрочем тех кто еще использует Struts, это вряд ли волнует) и ограничениями в java.io.FilePermission

     
  • 1.44, YetAnotherOnanym (ok), 00:33, 19/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > ../../../../../

    фейспалм.жпг... какая детсадовская ошибка!

     
  • 1.45, Golangdev (?), 02:39, 19/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Apache Struts применялся в web-приложениях 65% компаний из списка Fortune 100
    > данный фреймворк пользуется популярностью в корпоративных системах

    забавно, что можно, оказывается, построить компанию уровня Fortune 100 на таком г-не.

     
     
  • 2.50, Аноним (49), 18:17, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что софт — это неприятная необходимость ведения бизнеса в современном мире, а не самоцель как привыкли думать кодеры на зарплате у этого самого бизнеса. Работает? Инвойсы рассылает? Вот и чудненько! А то, что некрасиво или язык не благословленный — вообще до лампочки. Кому это кроме 3½ нердов интересно?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру