Опубликованы сведения об уязвимости (CVE-2020-9484) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет добиться выполнения кода на сервере через отправку специально оформленного запроса. Уязвимость устранена в выпусках Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 и 7.0.104...Подробнее: https://www.opennet.me/opennews/art.shtml?num=53001
Прекрасно. У нас в оборонке полно примеров, когда томкат поставляется как "сертифицированное СПО". Дырка там будет жить ещё долго)
пффф... совсем недавно, ну относительно, в томкете была возможность доса через телнет
Tomcat под привилегированным пользователем с отключенным SecurityManager-ом запускают только имбецилы
Так он и пишет "в оборонке". Армейский метод, такие дела.
По описанию - что-то суровое, типа автоматического выполнения кода из файлов с определённым расширением. Это примерно как .phar будет.
Только в .phar надо было иметь возможность phar:// приписать, а тут похоже банально имя файла имеет значение.
Томкот вообще не нужен. Ни в оборонке, ни вообще. Что за де... личности его вообще пиарят? Уже лень делать нормальные веб-приложения?
А на чем сервлеты запускать?
>А на чем сервлеты запускать?CentOS + wildfly разумеется. Ну, если есть лишнее бабло, RHEL+JBOSS...
Почему я должен запускать их в вайлдфлае каком-то ноунеймовом, про который я ни разу не слышал, если есть известный tomcat? Или там хотя бы glassfish?
>wildfly разумеется- а там такой дырки нет? или еще не нашли?
>Томкот вообще не нужен. Ни в оборонке, ни вообщеtomcat вообще везде, ибо шпринг заполонил... высунься из морозилки.
Ну и уязвимость несколько сферичновакуумная, в проде попробуй найди "PersistenceManager с хранилищем FileStore, в настройках которого параметр sessionAttributeValueClassNameFilter выставлен в значение "null" (по умолчанию, если не применяется SecurityManager) или выбран слабый фильтр, допускающий десериализацию объекта"...
Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище.
> Шпринг, хибернейт... что ни поделка на них, то редкостное удолбището ли дело элохтрон. Шо не проект - то искусство
Элохтрон вообще сразу закапывать вместе с поделками на нём, и искать нормальный софт.
На чем писать предлагаете? Плюсы? Питон? Заказчику чаще всего вообще пофигу, как оно технически реализовано - бабки за фичи платят и UX без страданий. Это бизнес, а джавка как была про большие бабки 20 лет назад, так и еще столько же будет. А уязвимости есть везде.
Читая вышеописанное, могу только предложить не писать ни на чём - мир станет чище.
ну найди skype/slack на линух не на элохтроне
> ну найди skype/slack на линух не на элохтронеНо зачем? (с)
> Но зачем? (с)корпоративные стандарты, а не хотелки админа локалхоста
> корпоративные стандарты, а не хотелки админа локалхостаЛинуха со скайпом? Эпичный вариант ужа с ежом, тут уже не "стандарты" получаются, а чьи-то хотелки в отрыве от реальности.
Именно Скайп на Линуксе и уже давно. Для работы часто нет альтернативы и тут не ты выбираешь.
При этом Скайп вполне работает неплохо и на электроне.
Настолько толсто, что тонко.
Электрон кнчн та ещё штука, но если пилить аналоги кроссплатформенных умеренно-нативных приложений на жабе, то едва ли они будут быстрее и скромнее по потреблению ресурсов.. и это даже не говоря о сложности и стоимости их дальнейшей поддержки итп.
Вот-вот, этим критиканам кажется, что кто-т будет забесплатно пилить то, что будет работать на их не самой мощной конфигурации
Зы. Тоже люблю больше джаву, чм электрон
>Шпринг, хибернейт... что ни поделка на нихСейчас у всех хипсторов эластик без авторизации ) хотя наиболее "одаренные", работают и с носклями через hibernate, да...
попробуй, живя в провинциальном городе, найти без релокации работу со строчкой в резюме "JAVA(JAKARTA) EE ONLY!!!!111". Такое чувство, будто комментит тайное братство джавистов за 50, которые опознают друг друга по татуировке EJB на предплечье.
Ну так не живи в жопе, не?Это как негру в центральной африке жаловаться, что что-то спроса на жаба-программистов в его деревне нет.
Да тебя завтра разделают на жаркое для свадьбы старейшины, и запекут в соусе из местных жаб, беги оттуда, глупец!Или уж срочно учись вместо этого бесполезного - выделывать шкуры для ритуального свадебного там-тама (импортозамещение, называетсо!) - тогда может его и закажут не из твоей шкуры.
На самом деле, просто времена жабы постепенно уходят и она потихоньку, но неотвратимо, катится туда, где ей и место - т.е на помойку.Хотя, даже забавно, как иные её защищают, типо тру и вообще.
Её - самое что ни есть хиповое *** на момент своего появления, ещё и так и не ставшее чем-то легковесным и простым( если не говорить о совсем кастрированных версиях ), проигравшее битву за веб( привет, апплеты, безумно жрущее и тормозное *, на фоне которого даже жс был легким и шустрым ) даже в отсутствии серьезных соперников.
Лучше уж апплеты, чем современный джс
> Лучше уж апплеты, чем современный джсДооо.
(На винде):
Прибиваю браузер, и запускаю с пустой домашней страницей..
Через диспетчер задач прибиваю explorer.exe и всякое подобное..
...
И всё это только ради того, чтобы открыть веб-страницу с апплетом и посмотреть, что сиё поделие вообще из себя представляет...
Представляет обычную страницу какого-то каталога товаров с несколькими фильтрами и совершенно уродливыми кнопками и проч
Но сжирает начисто почти всю память и любое действие в ней сопровождается лагами и хорошей нагрузкой ЦП.
А сайты с js работали пусть и не идеально, но более чем хорошо на фоне этого недоразумения.
И это ещё старый и уродливый js с кучей проблем, ограничений и недоработок.Веселые были времена.
128Мб ОЗУ, Celeron 900МГц, Geforce Mx 440 - вполне тянуло даже Serious Sam и C&C: Generals.
Но для запуска какого-то чертова апплета приходилось прибивать даже процесс эксплорера, т.к иначе происходил вылет из-за недостатка оперативки.Хотя, чего я рассказываю.
Апплеты не были реальными конкурентами js, т.к речь на тот момент о разных весовых категориях - апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.
>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.- кстати, давно что то не видно этого "победоносного" флэша, куда делась эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?
>>апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.
> - кстати, давно что то не видно этого "победоносного" флэша, куда делась
> эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?Я и не говорю, что он крут. Но даже *** оказалось несравненно лучше жабашных апплетов )
А делось оно( флеши ).. скорее всего, не куда-то, а почему-то.
А если точнее, то постепенно отмирала по мере развития жс и функционала, предоставляемого ему браузерами.
Еще несколько лет назад ведь даже к вебкамере и микрофону можно было подключиться только через флеш( всм, не через жс ).
А теперь.. простенький жс-скрипт запилил, симпатичную страницу сверстал - и готова, по сути, "морда" кроссплатформенного приложение с вполне-себе неплохими возможностями по взаимодействию с пользователем.
Т.е по мере развития жс, надобность в штуках типо флеша естественным образом отмирает.
> Но даже *** оказалось несравненно лучше жабашных апплетов )- с таким же успехом Вы можете утверждать что IE оказался несравненно лучше чем NN, исчезновение которого с рынка потянуло на дно и активно развивавшиеся в нем апплеты
>А делось оно( флеши ).. скорее всего, не куда-то, а почему-то
- замените слово флэш на апплет и посмотрите выше про NN, также можно вспомнить продажу Sun со всеми потрохами, в связи с чем ряд направлений новыми владельцами был свернут. Но как историческое развитие апплетов можно рассматривать приложения под Android - идея та же: песочница и особым образом оформленное приложение.
Некоторые возможности апплетов до сих пор трудно чем то заменить - например возможность создавать сетевые соединения и использовать в них кастомное шифрование данных
Лет 15 читаю как времена Java куда-то уходят, а он всё ещё самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать про это, пока он будет занимать первую строчку рейтингов :)
> Лет 15 читаю как времена Java куда-то уходят, а он всё ещё
> самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать
> про это, пока он будет занимать первую строчку рейтингов :)Да, только вылетел из фронта со своими апплетами практически в отсутствии конкуренции, а ныне - заказчиками и разрабами все чаще и серьезней рассматриваются альтернативы ей( нода, питон.. и даже пых ).
п.с: первую строчку рейтингов для применения в вебе жаба не занимает( у неё на уровне асп.нэт ).
Возможно, вы смотрели какой-то очень специфический «рейтинг» или тот, в котором заодно считаются и все приложения под Андройд и модули для них :)
JavaEE не самый сложный технологический стек и те кто не сумел его осилить, да еще и гордится этим, вызывают сожаление
>JavaEE не самый сложный технологический стекТолько мертвый уже... 95% вакансий про шпринг ( хотя можно вспомнить наблюдение "95% всего является..."