The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"  +/
Сообщение от opennews (??), 17-Дек-24, 17:30 
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62424

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  –4 +/
Сообщение от Аноним (1), 17-Дек-24, 17:30 
> Страница на проприетарный confluence.

Про апач можно забыть. С таким отношением к спо.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +/
Сообщение от Аноним (15), 17-Дек-24, 18:34 
> Страница на проприетарный confluence.
> Про апач можно забыть. С таким отношением к спо.

Будто бы кому не наплевать, где там у них страница.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +/
Сообщение от Аноним (-), 18-Дек-24, 12:16 
>> Страница на проприетарный confluence.
>> Про апач можно забыть. С таким отношением к спо.
> Будто бы кому не наплевать, где там у них страница.

Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него что-нибудь покупать, и даже нахаляву брать - да ну нафиг. Если его процессы не работают даже для него самого - наверное, хреновый пекарь. И апач как продукт - тому подтверждение. Тормозной, жирный, оверинженернутый корпоравтиный монстр.

Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +/
Сообщение от Аноним (-), 17-Дек-24, 19:43 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +/
Сообщение от Аноним (1), 17-Дек-24, 17:35 
> в контейнере Apache Tomcat, запускаемом с правами root

Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +/
Сообщение от Аноним (5), 17-Дек-24, 17:38 
Наверно очень понадобился порт 80 вместо 8080.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +/
Сообщение от Аноним (1), 17-Дек-24, 17:41 
Для этого есть обратный прокси.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +2 +/
Сообщение от Аноним (13), 17-Дек-24, 18:06 
Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +6 +/
Сообщение от Аноним (18), 17-Дек-24, 19:45 
Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что
- за одним 80 портом скорее всего будут хоститься несколько приложений
- нужно централизованно терминировать TLS
- нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой)
- унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  –3 +/
Сообщение от Аноним (13), 17-Дек-24, 22:39 
И всё на одном сервере? Ну, дела… Спать не жарко?
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +1 +/
Сообщение от Аноним (31), 18-Дек-24, 02:58 
Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +/
Сообщение от 1 (??), 18-Дек-24, 09:12 
А причём тут кубертенис ? "Всё уже украдено до нас" (с)
На чём по твоему взлетел HA-Proxy ?
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +1 +/
Сообщение от Аноним (37), 18-Дек-24, 10:07 
Распределить сервисы по разным серверам можно без всякого кубернетеса.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

4. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +2 +/
Сообщение от Аноним (5), 17-Дек-24, 17:38 
> применялся в web-приложениях 65% компаний из списка Fortune 100

Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +3 +/
Сообщение от Аноним (8), 17-Дек-24, 17:39 
Ты хотел написать рассматривался как нечто совсем надёжное.  
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +2 +/
Сообщение от Аноним (7), 17-Дек-24, 17:39 
> Apache Struts

Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +4 +/
Сообщение от Аноним (8), 17-Дек-24, 17:40 
Выросло поколение.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +3 +/
Сообщение от Аноним (13), 17-Дек-24, 18:03 
> Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root

Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."  +/
Сообщение от Хейтер (?), 18-Дек-24, 12:03 
1. Не запускать контейнер сервлетов (Tomcat/Jetty/и т п) под рутом

2. Запускать контейнер сервлетов со включенным SecurityManager-ом (жаль что запретили в Java 17, впрочем тех кто еще использует Struts, это вряд ли волнует) и ограничениями в java.io.FilePermission

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру