Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"	+/–
Сообщение от opennews (??), 17-Дек-24, 17:30
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62424
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	–3 +/–
Сообщение от Аноним (1), 17-Дек-24, 17:30
> Страница на проприетарный confluence. Про апач можно забыть. С таким отношением к спо.
Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (15), 17-Дек-24, 18:34
	> Страница на проприетарный confluence. > Про апач можно забыть. С таким отношением к спо. Будто бы кому не наплевать, где там у них страница.
	Ответить | Правка | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от Аноним (-), 17-Дек-24, 19:43
	> Про апач можно забыть. С таким отношением к спо. Вот бы зааплоадить им что-нибудь веселого за это... :)
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
Сообщение от Аноним (1), 17-Дек-24, 17:35
> в контейнере Apache Tomcat, запускаемом с правами root Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (5), 17-Дек-24, 17:38
	Наверно очень понадобился порт 80 вместо 8080.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (1), 17-Дек-24, 17:41
	Для этого есть обратный прокси.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
	Сообщение от Аноним (13), 17-Дек-24, 18:06
	Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+3 +/–
	Сообщение от Аноним (18), 17-Дек-24, 19:45
	Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что - за одним 80 портом скорее всего будут хоститься несколько приложений - нужно централизованно терминировать TLS - нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой) - унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (13), 17-Дек-24, 22:39
	И всё на одном сервере? Ну, дела… Спать не жарко?
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (31), 18-Дек-24, 02:58
	Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.
	Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+1 +/–
Сообщение от Аноним (5), 17-Дек-24, 17:38
> применялся в web-приложениях 65% компаний из списка Fortune 100 Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+3 +/–
	Сообщение от Аноним (8), 17-Дек-24, 17:39
	Ты хотел написать рассматривался как нечто совсем надёжное.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (29), 17-Дек-24, 22:26
	Вопрос к знатокам: что это за форма психического расстройства - решать за собеседника, что он хотел написать, если собеседник уже написал то, что считал нужным?
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от СвидетельИсходаМахатм (?), 18-Дек-24, 04:30
	Кащениты такие кащениты.
	Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
Сообщение от Аноним (7), 17-Дек-24, 17:39
> Apache Struts Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+4 +/–
	Сообщение от Аноним (8), 17-Дек-24, 17:40
	Выросло поколение.
	Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+3 +/–
Сообщение от Аноним (13), 17-Дек-24, 18:03
> Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.
Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (7), 17-Дек-24, 18:29
	> в начале двухтысячных Чепуху не городи. В этой стране в начале двухтысячных компьютеры были только у очень крутых компаний, не говоря про домашних юзеров. У нас в городе, например, почта на печатных машинках (в прямом смысле) и телетайпе работала до 2006 года.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (18), 17-Дек-24, 19:57
	Ошибся на десяток лет. Когда я был в начальной школе, а это было самое начало 90-х, компы уже были у половины класса, и обсуждения игрушек и обмен дискетами был обычным явлением. Мои родители имели средний достаток, однако помню что комп ещё и менялся каждые пару лет, с 386 (DX2 66, как сейчас помню, но не уверен что у нас это была первая машина) до 486, потом уже пошли "пни". Это, правда, Москва.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от D (?), 17-Дек-24, 20:45
	:) 386 dx 33/40mhz и 486 dx2 66mhz
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (-), 17-Дек-24, 21:10
	> Это, правда, Москва. Отличное уточнение! Правда по факту это была другая страна, по сравнению со всем замкадьем. Ну средний достаток тоже очень отличался.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	26. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (26), 17-Дек-24, 21:28
	Ну да черную икру ели не каждый день. Тяжело было.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
	Сообщение от Аноним (26), 17-Дек-24, 21:28
	Ага Москва и центральный административный округ. Район Арбат. Даже в Москве, но в другом районе в начале 90-х был один комп дома во всем классе. У остальных только приставки или игра с волком и (его) яйцами.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	20. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от _ (??), 17-Дек-24, 20:22
	> В этой стране в начале двухтысячных компьютеры были только у очень крутых компаний Упрлс? Всё что крупнее палатки по сбору бутылок - уже имели.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	24. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от хрю (?), 17-Дек-24, 21:17
	>>Чепуху не городи. Воспользуйся своим советом.  Даже в провинции уже была поголовная компьютеризация на всех средний и больших предприятиях как минимум в бухгалтерии - 1с позволял очень экономить и контролировать баблотоки, а в миллиониках так вообще смешно.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	27. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (27), 17-Дек-24, 22:16
	В середине 90-х,  IBM PC совместимые компьютеры (386е) появились в компьютерном кружке дома пионеров, а так же там были БК’ашки и различные Электроники. Были одноклассники у которых родители купили компьютер. В конце девяностых, в универе, IBM PC совместимые компьютеры стояли в лабах, на кафедрах. В одной из лаб были маки. В конце 90-х в начале 2000-х, компьютеры были у любого бизнеса, ну за исключением киоска с бялешами. В начале 2000-х, будучи студентом, имея подработки, купил и собрал себе свой компьютер, Pentium III. В конце 90-х была популярна сеть Fido, а в начале 2000-х все уже вовсю “сидели” в интернете. В начале 2000-х в городе было открыто куча компьютерных клубов. И это не Москва и не Питер, это сотни километров от Москвы.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	28. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
	Сообщение от Аноним (27), 17-Дек-24, 22:21
	> У нас в городе, например, почта на печатных машинках (в прямом смысле) и телетайпе работала до 2006 года ну почта это конечно показатель, это самое передовое что может быть в твоей стране
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема