Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache Tomcat, допускающая удалённое выполнение..."	+/–
Сообщение от opennews (ok), 21-Май-20, 22:21
Опубликованы сведения об уязвимости (CVE-2020-9484) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет добиться выполнения кода на сервере через отправку специально оформленного запроса. Уязвимость устранена в выпусках Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 и 7.0.104... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53001
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от kknight (ok), 21-Май-20, 22:21	+/–
Прекрасно. У нас в оборонке полно примеров, когда томкат поставляется как "сертифицированное СПО". Дырка там будет жить ещё долго)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #26

2. Сообщение от Онаним (?), 21-Май-20, 22:34	+/–
По описанию - что-то суровое, типа автоматического выполнения кода из файлов с определённым расширением. Это примерно как .phar будет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от Онаним (?), 21-Май-20, 22:35	+/–
Только в .phar надо было иметь возможность phar:// приписать, а тут похоже банально имя файла имеет значение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Нолекс (?), 22-Май-20, 02:25	–7 +/–
Томкот вообще не нужен. Ни в оборонке, ни вообще. Что за де... личности его вообще пиарят? Уже лень делать нормальные веб-приложения?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #8, #14

5. Сообщение от Gfdc (?), 22-Май-20, 03:07	+5 +/–
А на чем сервлеты запускать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9

7. Сообщение от одмин (?), 22-Май-20, 07:01	+/–
пффф... совсем недавно, ну относительно, в томкете была возможность доса через телнет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от лютый жабби__ (?), 22-Май-20, 11:27	+/–
>Томкот вообще не нужен. Ни в оборонке, ни вообще tomcat вообще везде, ибо шпринг заполонил... высунься из морозилки. Ну и уязвимость несколько сферичновакуумная, в проде попробуй найди "PersistenceManager с хранилищем FileStore, в настройках которого параметр sessionAttributeValueClassNameFilter выставлен в значение "null" (по умолчанию, если не применяется SecurityManager) или выбран слабый фильтр, допускающий десериализацию объекта"...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

9. Сообщение от лютый жабби__ (?), 22-Май-20, 11:28	–1 +/–
>А на чем сервлеты запускать? CentOS + wildfly разумеется. Ну, если есть лишнее бабло, RHEL+JBOSS...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21, #29

10. Сообщение от Онаним (?), 22-Май-20, 11:49	–3 +/–
Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11, #25

11. Сообщение от ALex_hha (ok), 22-Май-20, 12:46	–1 +/–
> Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище то ли дело элохтрон. Шо не проект - то искусство
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #12, #17

12. Сообщение от Онаним (?), 22-Май-20, 14:16	+1 +/–
Элохтрон вообще сразу закапывать вместе с поделками на нём, и искать нормальный софт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #13, #19

13. Сообщение от Аноним (13), 22-Май-20, 17:48	+/–
На чем писать предлагаете? Плюсы? Питон? Заказчику чаще всего вообще пофигу, как оно технически реализовано - бабки за фичи платят и UX без страданий. Это бизнес, а джавка как была про большие бабки 20 лет назад, так и еще столько же будет. А уязвимости есть везде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15

14. Сообщение от Аноним (13), 22-Май-20, 17:57	+1 +/–
попробуй, живя в провинциальном городе, найти без релокации работу со строчкой в резюме "JAVA(JAKARTA) EE ONLY!!!!111". Такое чувство, будто комментит тайное братство джавистов за 50, которые опознают друг друга по татуировке EJB на предплечье.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16, #27

15. Сообщение от Онаним (?), 22-Май-20, 18:18	+1 +/–
Читая вышеописанное, могу только предложить не писать ни на чём - мир станет чище.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от пох. (?), 22-Май-20, 23:22	–3 +/–
Ну так не живи в жопе, не? Это как негру в центральной африке жаловаться, что что-то спроса на жаба-программистов в его деревне нет. Да тебя завтра разделают на жаркое для свадьбы старейшины, и запекут в соусе из местных жаб, беги оттуда, глупец! Или уж срочно учись вместо этого бесполезного - выделывать шкуры для ритуального свадебного там-тама (импортозамещение, называетсо!) - тогда может его и закажут не из твоей шкуры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #18

17. Сообщение от Lex (??), 23-Май-20, 08:17	+/–
Настолько толсто, что тонко. Электрон кнчн та ещё штука, но если пилить аналоги кроссплатформенных умеренно-нативных приложений на жабе, то едва ли они будут быстрее и скромнее по потреблению ресурсов.. и это даже не говоря о сложности и стоимости их дальнейшей поддержки итп.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #34

18. Сообщение от Lex (??), 23-Май-20, 08:25	+/–
На самом деле, просто времена жабы постепенно уходят и она потихоньку, но неотвратимо, катится туда, где ей и место - т.е на помойку. Хотя, даже забавно, как иные её защищают, типо тру и вообще. Её - самое что ни есть хиповое *** на момент своего появления, ещё и так и не ставшее чем-то легковесным и простым( если не говорить о совсем кастрированных версиях ), проигравшее битву за веб( привет, апплеты, безумно жрущее и тормозное *, на фоне которого даже жс был легким и шустрым ) даже в отсутствии серьезных соперников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #22, #38

19. Сообщение от ALex_hha (ok), 23-Май-20, 11:58	+/–
ну найди skype/slack на линух не на элохтроне
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20

20. Сообщение от Онаним (?), 23-Май-20, 14:29	+/–
> ну найди skype/slack на линух не на элохтроне Но зачем? (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #33

21. Сообщение от Аноним (21), 24-Май-20, 09:13	+/–
Почему я должен запускать их в вайлдфлае каком-то ноунеймовом, про который я ни разу не слышал, если есть известный tomcat? Или там хотя бы glassfish?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от Аноним (21), 24-Май-20, 09:14	+/–
Лучше уж апплеты, чем современный джс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #23

23. Сообщение от Lex (??), 24-Май-20, 21:53	+/–
> Лучше уж апплеты, чем современный джс Дооо. (На винде): Прибиваю браузер, и запускаю с пустой домашней страницей.. Через диспетчер задач прибиваю explorer.exe и всякое подобное.. ... И всё это только ради того, чтобы открыть веб-страницу с апплетом и посмотреть, что сиё поделие вообще из себя представляет... Представляет обычную страницу какого-то каталога товаров с несколькими фильтрами и совершенно уродливыми кнопками и проч Но сжирает начисто почти всю память и любое действие в ней сопровождается лагами и хорошей нагрузкой ЦП. А сайты с js работали пусть и не идеально, но более чем хорошо на фоне этого недоразумения. И это ещё старый и уродливый js с кучей проблем, ограничений и недоработок. Веселые были времена. 128Мб ОЗУ, Celeron 900МГц, Geforce Mx 440 - вполне тянуло даже Serious Sam и  C&C: Generals. Но для запуска какого-то чертова апплета приходилось прибивать даже процесс  эксплорера, т.к иначе происходил вылет из-за недостатка оперативки. Хотя, чего я рассказываю. Апплеты не были реальными конкурентами js, т.к речь на тот момент о разных весовых категориях - апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #28

25. Сообщение от лютый жабби__ (?), 25-Май-20, 09:41	+/–
>Шпринг, хибернейт... что ни поделка на них Сейчас у всех хипсторов эластик без авторизации ) хотя наиболее "одаренные", работают и с носклями через hibernate, да...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

26. Сообщение от MVK (??), 25-Май-20, 11:29	+/–
Tomcat под привилегированным пользователем с отключенным SecurityManager-ом запускают только имбецилы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #32

27. Сообщение от MVK (??), 25-Май-20, 11:34	+/–
JavaEE не самый сложный технологический стек и те кто не сумел его осилить, да еще и гордится этим, вызывают сожаление
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #36

28. Сообщение от MVK (??), 25-Май-20, 11:37	+/–
>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной. - кстати, давно что то не видно этого "победоносного" флэша, куда делась эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #30

29. Сообщение от MVK (??), 25-Май-20, 11:40	+/–
>wildfly разумеется - а там такой дырки нет? или еще не нашли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

30. Сообщение от Lex (??), 25-Май-20, 12:04	+/–
>>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной. > - кстати, давно что то не видно этого "победоносного" флэша, куда делась > эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript? Я и не говорю, что он крут. Но даже *** оказалось несравненно лучше жабашных апплетов ) А делось оно( флеши ).. скорее всего, не куда-то, а почему-то. А если точнее, то постепенно отмирала по мере развития жс и функционала, предоставляемого ему браузерами. Еще несколько лет назад ведь даже к вебкамере и микрофону можно было подключиться только через флеш( всм, не через жс ). А теперь.. простенький жс-скрипт запилил, симпатичную страницу сверстал - и готова, по сути, "морда" кроссплатформенного приложение с вполне-себе неплохими возможностями по взаимодействию с пользователем. Т.е по мере развития жс, надобность в штуках типо флеша естественным образом отмирает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31

31. Сообщение от MVK (??), 25-Май-20, 12:40	+/–
> Но даже *** оказалось несравненно лучше жабашных апплетов ) - с таким же успехом Вы можете утверждать что IE оказался несравненно лучше чем NN, исчезновение которого с рынка потянуло на дно и активно развивавшиеся в нем апплеты >А делось оно( флеши ).. скорее всего, не куда-то, а почему-то - замените слово флэш на апплет и посмотрите выше про NN, также можно вспомнить продажу Sun со всеми потрохами, в связи с чем ряд направлений новыми владельцами был свернут. Но как историческое развитие апплетов можно рассматривать приложения под Android - идея та же: песочница и особым образом оформленное приложение. Некоторые возможности апплетов до сих пор трудно чем то заменить - например возможность создавать сетевые соединения и использовать в них кастомное шифрование данных
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от Аноним (32), 25-Май-20, 18:08	+/–
Так он и пишет "в оборонке". Армейский метод, такие дела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от ALex_hha (ok), 26-Май-20, 13:48	+/–
> Но зачем? (с) корпоративные стандарты, а не хотелки админа локалхоста
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #35

34. Сообщение от Карабьян (?), 26-Май-20, 15:04	+/–
Вот-вот, этим критиканам кажется, что кто-т будет забесплатно пилить то, что будет работать на их не самой мощной конфигурации Зы. Тоже люблю больше джаву, чм электрон
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

35. Сообщение от Онаним (?), 26-Май-20, 19:54	+/–
> корпоративные стандарты, а не хотелки админа локалхоста Линуха со скайпом? Эпичный вариант ужа с ежом, тут уже не "стандарты" получаются, а чьи-то хотелки в отрыве от реальности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #37

36. Сообщение от лютый жабби__ (?), 27-Май-20, 09:24	+/–
>JavaEE не самый сложный технологический стек Только мертвый уже... 95% вакансий про шпринг ( хотя можно вспомнить наблюдение "95% всего является..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

37. Сообщение от max (??), 30-Май-20, 14:54	+/–
Именно Скайп на Линуксе и уже давно. Для работы часто нет альтернативы и тут не ты выбираешь. При этом Скайп вполне работает неплохо и на электроне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от max (??), 30-Май-20, 14:59	+/–
Лет 15 читаю как времена Java куда-то уходят, а он всё ещё самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать про это, пока он будет занимать первую строчку рейтингов :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #39

39. Сообщение от Lex (??), 30-Май-20, 17:18	+/–
> Лет 15 читаю как времена Java куда-то уходят, а он всё ещё > самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать > про это, пока он будет занимать первую строчку рейтингов :) Да, только вылетел из фронта со своими апплетами практически в отсутствии конкуренции, а ныне - заказчиками и разрабами все чаще и серьезней рассматриваются альтернативы ей( нода, питон.. и даже пых ). п.с: первую строчку рейтингов для применения в вебе жаба не занимает( у неё на уровне асп.нэт ). Возможно, вы смотрели какой-то очень специфический «рейтинг» или тот, в котором заодно считаются и все приложения под Андройд и модули для них :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема