Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
Сообщение от opennews (ok), 21-Май-20, 22:21
Опубликованы сведения об уязвимости (CVE-2020-9484) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет добиться выполнения кода на сервере через отправку специально оформленного запроса. Уязвимость устранена в выпусках Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 и 7.0.104... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53001
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
Сообщение от kknight (ok), 21-Май-20, 22:21
Прекрасно. У нас в оборонке полно примеров, когда томкат поставляется как "сертифицированное СПО". Дырка там будет жить ещё долго)
Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от одмин (?), 22-Май-20, 07:01
	пффф... совсем недавно, ну относительно, в томкете была возможность доса через телнет
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от MVK (??), 25-Май-20, 11:29
	Tomcat под привилегированным пользователем с отключенным SecurityManager-ом запускают только имбецилы
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	32. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Аноним (32), 25-Май-20, 18:08
	Так он и пишет "в оборонке". Армейский метод, такие дела.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
Сообщение от Онаним (?), 21-Май-20, 22:34
По описанию - что-то суровое, типа автоматического выполнения кода из файлов с определённым расширением. Это примерно как .phar будет.
Ответить | Правка | Наверх | Cообщить модератору

	3. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Онаним (?), 21-Май-20, 22:35
	Только в .phar надо было иметь возможность phar:// приписать, а тут похоже банально имя файла имеет значение.
	Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	–7 +/–
Сообщение от Нолекс (?), 22-Май-20, 02:25
Томкот вообще не нужен. Ни в оборонке, ни вообще. Что за де... личности его вообще пиарят? Уже лень делать нормальные веб-приложения?
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+5 +/–
	Сообщение от Gfdc (?), 22-Май-20, 03:07
	А на чем сервлеты запускать?
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	–1 +/–
	Сообщение от лютый жабби__ (?), 22-Май-20, 11:28
	>А на чем сервлеты запускать? CentOS + wildfly разумеется. Ну, если есть лишнее бабло, RHEL+JBOSS...
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Аноним (21), 24-Май-20, 09:13
	Почему я должен запускать их в вайлдфлае каком-то ноунеймовом, про который я ни разу не слышал, если есть известный tomcat? Или там хотя бы glassfish?
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от MVK (??), 25-Май-20, 11:40
	>wildfly разумеется - а там такой дырки нет? или еще не нашли?
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	8. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от лютый жабби__ (?), 22-Май-20, 11:27
	>Томкот вообще не нужен. Ни в оборонке, ни вообще tomcat вообще везде, ибо шпринг заполонил... высунься из морозилки. Ну и уязвимость несколько сферичновакуумная, в проде попробуй найди "PersistenceManager с хранилищем FileStore, в настройках которого параметр sessionAttributeValueClassNameFilter выставлен в значение "null" (по умолчанию, если не применяется SecurityManager) или выбран слабый фильтр, допускающий десериализацию объекта"...
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	10. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	–3 +/–
	Сообщение от Онаним (?), 22-Май-20, 11:49
	Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	–1 +/–
	Сообщение от ALex_hha (ok), 22-Май-20, 12:46
	> Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище то ли дело элохтрон. Шо не проект - то искусство
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+1 +/–
	Сообщение от Онаним (?), 22-Май-20, 14:16
	Элохтрон вообще сразу закапывать вместе с поделками на нём, и искать нормальный софт.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Аноним (13), 22-Май-20, 17:48
	На чем писать предлагаете? Плюсы? Питон? Заказчику чаще всего вообще пофигу, как оно технически реализовано - бабки за фичи платят и UX без страданий. Это бизнес, а джавка как была про большие бабки 20 лет назад, так и еще столько же будет. А уязвимости есть везде.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+1 +/–
	Сообщение от Онаним (?), 22-Май-20, 18:18
	Читая вышеописанное, могу только предложить не писать ни на чём - мир станет чище.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от ALex_hha (ok), 23-Май-20, 11:58
	ну найди skype/slack на линух не на элохтроне
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	20. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Онаним (?), 23-Май-20, 14:29
	> ну найди skype/slack на линух не на элохтроне Но зачем? (с)
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от ALex_hha (ok), 26-Май-20, 13:48
	> Но зачем? (с) корпоративные стандарты, а не хотелки админа локалхоста
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Онаним (?), 26-Май-20, 19:54
	> корпоративные стандарты, а не хотелки админа локалхоста Линуха со скайпом? Эпичный вариант ужа с ежом, тут уже не "стандарты" получаются, а чьи-то хотелки в отрыве от реальности.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от max (??), 30-Май-20, 14:54
	Именно Скайп на Линуксе и уже давно. Для работы часто нет альтернативы и тут не ты выбираешь. При этом Скайп вполне работает неплохо и на электроне.
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Lex (??), 23-Май-20, 08:17
	Настолько толсто, что тонко. Электрон кнчн та ещё штука, но если пилить аналоги кроссплатформенных умеренно-нативных приложений на жабе, то едва ли они будут быстрее и скромнее по потреблению ресурсов.. и это даже не говоря о сложности и стоимости их дальнейшей поддержки итп.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	34. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Карабьян (?), 26-Май-20, 15:04
	Вот-вот, этим критиканам кажется, что кто-т будет забесплатно пилить то, что будет работать на их не самой мощной конфигурации Зы. Тоже люблю больше джаву, чм электрон
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от лютый жабби__ (?), 25-Май-20, 09:41
	>Шпринг, хибернейт... что ни поделка на них Сейчас у всех хипсторов эластик без авторизации ) хотя наиболее "одаренные", работают и с носклями через hibernate, да...
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	14. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+1 +/–
	Сообщение от Аноним (13), 22-Май-20, 17:57
	попробуй, живя в провинциальном городе, найти без релокации работу со строчкой в резюме "JAVA(JAKARTA) EE ONLY!!!!111". Такое чувство, будто комментит тайное братство джавистов за 50, которые опознают друг друга по татуировке EJB на предплечье.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	16. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	–3 +/–
	Сообщение от пох. (?), 22-Май-20, 23:22
	Ну так не живи в жопе, не? Это как негру в центральной африке жаловаться, что что-то спроса на жаба-программистов в его деревне нет. Да тебя завтра разделают на жаркое для свадьбы старейшины, и запекут в соусе из местных жаб, беги оттуда, глупец! Или уж срочно учись вместо этого бесполезного - выделывать шкуры для ритуального свадебного там-тама (импортозамещение, называетсо!) - тогда может его и закажут не из твоей шкуры.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Lex (??), 23-Май-20, 08:25
	На самом деле, просто времена жабы постепенно уходят и она потихоньку, но неотвратимо, катится туда, где ей и место - т.е на помойку. Хотя, даже забавно, как иные её защищают, типо тру и вообще. Её - самое что ни есть хиповое *** на момент своего появления, ещё и так и не ставшее чем-то легковесным и простым( если не говорить о совсем кастрированных версиях ), проигравшее битву за веб( привет, апплеты, безумно жрущее и тормозное *, на фоне которого даже жс был легким и шустрым ) даже в отсутствии серьезных соперников.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Аноним (21), 24-Май-20, 09:14
	Лучше уж апплеты, чем современный джс
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Lex (??), 24-Май-20, 21:53
	> Лучше уж апплеты, чем современный джс Дооо. (На винде): Прибиваю браузер, и запускаю с пустой домашней страницей.. Через диспетчер задач прибиваю explorer.exe и всякое подобное.. ... И всё это только ради того, чтобы открыть веб-страницу с апплетом и посмотреть, что сиё поделие вообще из себя представляет... Представляет обычную страницу какого-то каталога товаров с несколькими фильтрами и совершенно уродливыми кнопками и проч Но сжирает начисто почти всю память и любое действие в ней сопровождается лагами и хорошей нагрузкой ЦП. А сайты с js работали пусть и не идеально, но более чем хорошо на фоне этого недоразумения. И это ещё старый и уродливый js с кучей проблем, ограничений и недоработок. Веселые были времена. 128Мб ОЗУ, Celeron 900МГц, Geforce Mx 440 - вполне тянуло даже Serious Sam и  C&C: Generals. Но для запуска какого-то чертова апплета приходилось прибивать даже процесс  эксплорера, т.к иначе происходил вылет из-за недостатка оперативки. Хотя, чего я рассказываю. Апплеты не были реальными конкурентами js, т.к речь на тот момент о разных весовых категориях - апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от MVK (??), 25-Май-20, 11:37
	>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной. - кстати, давно что то не видно этого "победоносного" флэша, куда делась эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Lex (??), 25-Май-20, 12:04
	>>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной. > - кстати, давно что то не видно этого "победоносного" флэша, куда делась > эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript? Я и не говорю, что он крут. Но даже *** оказалось несравненно лучше жабашных апплетов ) А делось оно( флеши ).. скорее всего, не куда-то, а почему-то. А если точнее, то постепенно отмирала по мере развития жс и функционала, предоставляемого ему браузерами. Еще несколько лет назад ведь даже к вебкамере и микрофону можно было подключиться только через флеш( всм, не через жс ). А теперь.. простенький жс-скрипт запилил, симпатичную страницу сверстал - и готова, по сути, "морда" кроссплатформенного приложение с вполне-себе неплохими возможностями по взаимодействию с пользователем. Т.е по мере развития жс, надобность в штуках типо флеша естественным образом отмирает.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от MVK (??), 25-Май-20, 12:40
	> Но даже *** оказалось несравненно лучше жабашных апплетов ) - с таким же успехом Вы можете утверждать что IE оказался несравненно лучше чем NN, исчезновение которого с рынка потянуло на дно и активно развивавшиеся в нем апплеты >А делось оно( флеши ).. скорее всего, не куда-то, а почему-то - замените слово флэш на апплет и посмотрите выше про NN, также можно вспомнить продажу Sun со всеми потрохами, в связи с чем ряд направлений новыми владельцами был свернут. Но как историческое развитие апплетов можно рассматривать приложения под Android - идея та же: песочница и особым образом оформленное приложение. Некоторые возможности апплетов до сих пор трудно чем то заменить - например возможность создавать сетевые соединения и использовать в них кастомное шифрование данных
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от max (??), 30-Май-20, 14:59
	Лет 15 читаю как времена Java куда-то уходят, а он всё ещё самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать про это, пока он будет занимать первую строчку рейтингов :)
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	39. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от Lex (??), 30-Май-20, 17:18
	> Лет 15 читаю как времена Java куда-то уходят, а он всё ещё > самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать > про это, пока он будет занимать первую строчку рейтингов :) Да, только вылетел из фронта со своими апплетами практически в отсутствии конкуренции, а ныне - заказчиками и разрабами все чаще и серьезней рассматриваются альтернативы ей( нода, питон.. и даже пых ). п.с: первую строчку рейтингов для применения в вебе жаба не занимает( у неё на уровне асп.нэт ). Возможно, вы смотрели какой-то очень специфический «рейтинг» или тот, в котором заодно считаются и все приложения под Андройд и модули для них :)
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от MVK (??), 25-Май-20, 11:34
	JavaEE не самый сложный технологический стек и те кто не сумел его осилить, да еще и гордится этим, вызывают сожаление
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	36. "Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
	Сообщение от лютый жабби__ (?), 27-Май-20, 09:24
	>JavaEE не самый сложный технологический стек Только мертвый уже... 95% вакансий про шпринг ( хотя можно вспомнить наблюдение "95% всего является..."
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема