https://89.19.215.112/openforum/vsluhforumID3/112285.html В http-сервере Apache выявлена (https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html) уязвимость (CVE-2017-9798 (https://security-tracker.debian.org/tracker/CVE-2017-9798)), которая опубликована под кодовым именем Optionsbleed. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и может привести к утечке отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга. <br><br><br>Для тестирования подверженности своих систем проблеме подготовлен (https://github.com/hannob/optionsbleed) прототип эксплоита. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, так как для атаки требуется изменение настроек через файл .htaccess. В частности, утечка данных из памяти возникает при выполнении запроса OPTIONS, если в директиве Limit задано ограничение для несуществующего или незарегистрированного HTTP-метода. В этом случае при выполнении запр https://89.19.215.112/openforum/vsluhforumID3/112285.html#21 Sun, 08 Oct 2017 20:48:02 GMT Конечно, лучше докер на продакшене запустить.<br> https://89.19.215.112/openforum/vsluhforumID3/112285.html#20 Wed, 20 Sep 2017 17:41:04 GMT Это, по-твоему, серьёзно? Затронуто 0,04% установок, опасность есть только для шаредов, и вообще непонятно, что можно из этих жалких нескольких байтов извлечь.<br> https://89.19.215.112/openforum/vsluhforumID3/112285.html#19 Wed, 20 Sep 2017 15:43:55 GMT &gt; но ведь давать имя каждой ошибке и правда бред <br><br>Дают не каждой, а только самым серьёзным (по возможным последствиям).<br> https://89.19.215.112/openforum/vsluhforumID3/112285.html#18 Wed, 20 Sep 2017 15:33:08 GMT но ведь давать имя каждой ошибке и правда бред<br> https://89.19.215.112/openforum/vsluhforumID3/112285.html#17 Wed, 20 Sep 2017 12:07:43 GMT Нет, вопрос был: "А кто на винде контейнер сервлетов запускает в продакшене?"<br> https://89.19.215.112/openforum/vsluhforumID3/112285.html#16 Wed, 20 Sep 2017 12:05:13 GMT &gt; Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."), <br>&gt; который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.<br><br>томкэт написан сановским инженером, думаю, вполне нехило оплачивавшимся в те-то благословенные годы. Сопровождается апачом, то есть, забесплатно вот вообще.<br><br><br><br><br> https://89.19.215.112/openforum/vsluhforumID3/112285.html#15 Wed, 20 Sep 2017 11:59:33 GMT &gt; как в случае с Апач-Струтса на Кисках<br><br>вы не владеете темой.<br>циска - это не только маршрутизаторы с мипсой внутри, это еще и просто коммерческий софт (и много чего еще). Весь струтс - он в софте, софт работает под обычным редхатом (или "почти-редхатом" - чтоб денег никому не платить) на обычном писюковом сервере, ничего "кроссплатформенного".<br><br> https://89.19.215.112/openforum/vsluhforumID3/112285.html#14 Wed, 20 Sep 2017 11:15:26 GMT &gt; Проблема проявляется только на платформе Windows<br><br>гораздо смачнее, когда уязвимости становятся кроссплатформенными, как в случае с Апач-Струтса на Кисках.<br> https://89.19.215.112/openforum/vsluhforumID3/112285.html#13 Wed, 20 Sep 2017 10:25:46 GMT &gt; Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?<br><br>Нет, просто существующие спецы начали работать.<br>