Раскрыта (http://seclists.org/fulldisclosure/2014/Sep/34) информация об опасной уязвимости (CVE-2013-4444) в контейнере для выполнения JSP-страниц и Java-сервлетов Apache Tomcat, позволяющей неаутентифицированнму злоумышленнику организовать удалённое выполнение кода на сервере. При определённом стечении обстоятельств атакующий может загрузить произвольный JSP-код на сервер и инициировать его выполнение. Необходимым условием для проведения атаки является использование в приложении функциональности Servlet 3.0 File Upload, включение  JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP. Полноценная эксплуатация возможна вкупе с уязвимостью в  классе java.io.File, которая присутствует в Oracle Java 1.7.0 update 25 и более ранних выпусках.

Проблема проявляется в выпусках Apache Tomcat с 7.0.0 по 7.0.39 и была устранена в Tomcat 7.0.40 без сообщения о наличии уязвимости. В настоящее время на странице (http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tom...) со списком исправлений в Tomcat 7.0.40 присутствуют сведения об уязвимости, но судя по
копии (https://web.archive.org/web/20140907203441/http://tomcat.apa...) на web.archive.org, сделанной несколько дней назад, данные о проблеме добавлены задним числом. Исправление в 2013 году внесено (http://svn.apache.org/viewvc?view=revision&revision=1470437) под видом чистки неиспользуемого кода.

URL: http://seclists.org/fulldisclosure/2014/Sep/34
Новость: http://www.opennet.me/opennews/art.shtml?num=40563

• Уязвимость в устаревших выпусках Apache Tomcat, которая може...,Аноним, 10:27 , 11-Сен-14
  • Уязвимость в устаревших выпусках Apache Tomcat, которая може...,Аноним, 14:48 , 11-Сен-14
  • Уязвимость в устаревших выпусках Apache Tomcat, которая може...,MVK, 12:32 , 13-Сен-14
• Уязвимость в устаревших выпусках Apache Tomcat, которая може...,MidNighter, 11:17 , 11-Сен-14
• Уязвимость в устаревших выпусках Apache Tomcat, которая може...,vitalif, 12:43 , 11-Сен-14
  • Уязвимость в устаревших выпусках Apache Tomcat, которая може...,Аноним, 21:11 , 11-Сен-14
  • Уязвимость в устаревших выпусках Apache Tomcat, которая може...,Аноним, 21:13 , 11-Сен-14
• Уязвимость в устаревших выпусках Apache Tomcat, которая може...,Аноним, 14:14 , 11-Сен-14
  • Уязвимость в устаревших выпусках Apache Tomcat, которая може...,MidNighter, 14:26 , 11-Сен-14
  • Уязвимость в устаревших выпусках Apache Tomcat, которая може...,Аноним, 14:49 , 11-Сен-14
• Уязвимость в устаревших выпусках Apache Tomcat, которая може...,umbr, 10:58 , 13-Сен-14

Java, энтерпрайз

Опубликовали бы ещё тех кто поймал её, это надо быть героем что-бы так настроить :)

> Java, энтерпрайз

"включение  JmxRemoteListener, который выключен по умолчанию, и его доступность на внешнем IP"

- если кто-то использует такие настройки в продкшене, то его просто необходимо поиметь, в образовательных целях. У такого чудика еще и Tomcat под рутом небось запущен.

судя по количеству новостей тема java на опеннет начинает раскрываться )

И ведь в дебиане не исправили ещё!..

https://security-tracker.debian.org/tracker/CVE-2013-4444

Jetty?

> И ведь в дебиане не исправили ещё!..
> https://security-tracker.debian.org/tracker/CVE-2013-4444

http://zeroturnaround.com/rebellabs/the-great-java-applicati.../

мда, сейчас для ботнетов эта уязвимость просто подарок, ибо яву и приложения мало кто обновляет.

ну не всё так страшно как вы пишишите, Tomcat и Java обновятся через штатные обновления реп на Linux системах.

> мда, сейчас для ботнетов эта уязвимость просто подарок, ибо яву и приложения
> мало кто обновляет.

Так сильно "недефолтная" настройка

Очередной анекдот про критическую уязвимость в Томкате :)