Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от opennews (??), 29-Фев-20, 22:47 | ||
Исследователи из китайской компании Chaitin Tech выявили уязвимость (CVE-2020-1938) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Уязвимости присвоено кодовое имя Ghostcat и критический уровень опасности (9.8 CVSS). Проблема позволяет в конфигурации по умолчанию через отправку запроса по сетевому порту 8009 прочитать содержимое любых файлов из каталога web-приложения, в том числе файлов с настройками и исходных текстов приложения... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –8 +/– | |
Сообщение от Аноним (1), 29-Фев-20, 22:47 | ||
> AJP | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +3 +/– | |
Сообщение от Аноним (2), 29-Фев-20, 22:58 | ||
>Подразумевается, что доступ к AJP открыт только для доверенных серверов, но на деле в конфигурации по умолчанию Tomcat осуществлялся запуск обработчика на всех сетевых интерфейсах | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +1 +/– | |
Сообщение от пох. (?), 29-Фев-20, 23:02 | ||
эксперты опеннета... | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +3 +/– | |
Сообщение от Аноним (2), 29-Фев-20, 23:57 | ||
Что не так? Сделать конфигурацию по-умолчанию небезопасной - это гарантированный способ заиметь небезопасные установки при массовом использовании софта. Это очевидно. А потом нагибать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +3 +/– | |
Сообщение от лютый жабби (?), 01-Мрт-20, 06:58 | ||
>Что не так? | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от КО (?), 01-Мрт-20, 07:50 | ||
"Проверил, госуслуги и наложку - на всех есно эксплоиты не работают" | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –1 +/– | |
Сообщение от macfaq (?), 01-Мрт-20, 09:44 | ||
> Порт 8009 надо ещё на фаеволе открыть, а уже лет так 15 принято "открываем то, что нужно", а не "закрываем то, что ненужно". | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
27. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от Аноним (27), 01-Мрт-20, 22:46 | ||
почему? | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –1 +/– | |
Сообщение от Аноним (2), 01-Мрт-20, 11:51 | ||
К вам ещё не приехали? | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
19. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +1 +/– | |
Сообщение от Аноним (19), 01-Мрт-20, 10:40 | ||
Это обычная уязвимость, примерно 100% дефолтных конфигураций так выглядят. В интернете во всех гайдах тоже всегда предлагают биндить на все интерфейсы, потом имеем что имеем. | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
25. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –1 +/– | |
Сообщение от And (??), 01-Мрт-20, 22:05 | ||
Да как-то всегда netstat -antpu | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –1 +/– | |
Сообщение от And (??), 01-Мрт-20, 22:06 | ||
И тупить на результат до устранения 0.0.0.0 из левого столбца. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от пох. (?), 02-Мрт-20, 07:36 | ||
Когда у тебя там кроме 0.0.0.0 только 127.0.0.1 - можешь не тупить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. Скрыто модератором | –5 +/– | |
Сообщение от Gemorroj (ok), 29-Фев-20, 23:14 | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. Скрыто модератором | +6 +/– | |
Сообщение от Аноним (1), 29-Фев-20, 23:16 | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +1 +/– | |
Сообщение от Аноним (6), 29-Фев-20, 23:21 | ||
Разве в SpringBoot ajp не надо включать отдельно? | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –3 +/– | |
Сообщение от neAnonim (?), 29-Фев-20, 23:53 | ||
Выражаю пренебрежение к java и всем завязанным на ней технологиях. | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –6 +/– | |
Сообщение от Java omnomnom your memory linux (?), 01-Мрт-20, 01:21 | ||
Есть оперативка, а если ещё осталось? Linux memory model (c) | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +1 +/– | |
Сообщение от Аноним (11), 01-Мрт-20, 01:26 | ||
Как будто Kotlin-приложения под Tomcat не уязвимы к данной проблеме. | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от Красноглазик (?), 02-Мрт-20, 19:22 | ||
здесь этой проблемы нет, котлин в вебе мертв. | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от Аноним (-), 01-Мрт-20, 13:45 | ||
> Оперативка есть? А если найду?! (c) java memory model. | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
24. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от Junker (?), 01-Мрт-20, 16:45 | ||
Оперативка есть?... А если найду? (с) | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
30. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от Красноглазик (?), 02-Мрт-20, 18:54 | ||
А что не так собственно с java, только хочется нормальной критики, а не вроде *амно много памяти жрет и всё в таком духе. | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
32. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от Ээээ (?), 03-Мрт-20, 17:04 | ||
После 8-ки вразнос пошла. Все эти попытки псевдо-функционалку приколотить гвоздями. Получилось даже хуже, чем с обобщениями. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –7 +/– | |
Сообщение от Аноним (9), 01-Мрт-20, 00:10 | ||
Пофиг, как будто найдётся такой идиот, кто выставит этот порт наружу | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +3 +/– | |
Сообщение от Аномном (?), 01-Мрт-20, 06:32 | ||
1.2 млн идиотов | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –1 +/– | |
Сообщение от Аноним (2), 01-Мрт-20, 14:11 | ||
Ничтожная доля всех вообще существующих идиотов, имеющих компьютеры. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от neAnonim (?), 01-Мрт-20, 15:24 | ||
но существенная среди тех, кто зарабатывает разработкой софта | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +/– | |
Сообщение от пох. (?), 02-Мрт-20, 07:39 | ||
они обычно сами томкэтов не ставят, если только на своем локалхосте, где оно как раз вполне безопастно. Ставят задачу девляпсу - "развернуть двадцать томкэтов в amazon cloud". | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –4 +/– | |
Сообщение от лютый жабби (?), 01-Мрт-20, 06:42 | ||
НОВОСТЬ БЕЗГРАМОТНО СОСТАВЛЕНА. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | +2 +/– | |
Сообщение от Аноним (17), 01-Мрт-20, 08:13 | ||
В некоторых профилях он включён по умолчанию: "The AJP connector is enabled by default only in standalone-full-ha.xml, standalone-ha.xml and ha and full-ha profiles in domain.xml." | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..." | –1 +/– | |
Сообщение от КО (?), 01-Мрт-20, 07:52 | ||
"начиная с выпущенной 13 лет назад" | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |