Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"	+/–
Сообщение от opennews (??), 17-Дек-24, 17:30
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62424
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	–3 +/–
Сообщение от Аноним (1), 17-Дек-24, 17:30
> Страница на проприетарный confluence. Про апач можно забыть. С таким отношением к спо.
Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (15), 17-Дек-24, 18:34
	> Страница на проприетарный confluence. > Про апач можно забыть. С таким отношением к спо. Будто бы кому не наплевать, где там у них страница.
	Ответить | Правка | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от Аноним (-), 17-Дек-24, 19:43
	> Про апач можно забыть. С таким отношением к спо. Вот бы зааплоадить им что-нибудь веселого за это... :)
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
Сообщение от Аноним (1), 17-Дек-24, 17:35
> в контейнере Apache Tomcat, запускаемом с правами root Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (5), 17-Дек-24, 17:38
	Наверно очень понадобился порт 80 вместо 8080.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (1), 17-Дек-24, 17:41
	Для этого есть обратный прокси.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
	Сообщение от Аноним (13), 17-Дек-24, 18:06
	Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+3 +/–
	Сообщение от Аноним (18), 17-Дек-24, 19:45
	Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что - за одним 80 портом скорее всего будут хоститься несколько приложений - нужно централизованно терминировать TLS - нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой) - унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	–1 +/–
	Сообщение от Аноним (13), 17-Дек-24, 22:39
	И всё на одном сервере? Ну, дела… Спать не жарко?
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+1 +/–
	Сообщение от Аноним (31), 18-Дек-24, 02:58
	Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от 1 (??), 18-Дек-24, 09:12
	А причём тут кубертенис ? "Всё уже украдено до нас" (с) На чём по твоему взлетел HA-Proxy ?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (37), 18-Дек-24, 10:07
	Распределить сервисы по разным серверам можно без всякого кубернетеса.
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

4. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+1 +/–
Сообщение от Аноним (5), 17-Дек-24, 17:38
> применялся в web-приложениях 65% компаний из списка Fortune 100 Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+3 +/–
	Сообщение от Аноним (8), 17-Дек-24, 17:39
	Ты хотел написать рассматривался как нечто совсем надёжное.
	Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
Сообщение от Аноним (7), 17-Дек-24, 17:39
> Apache Struts Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+4 +/–
	Сообщение от Аноним (8), 17-Дек-24, 17:40
	Выросло поколение.
	Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+3 +/–
Сообщение от Аноним (13), 17-Дек-24, 18:03
> Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.
Ответить | Правка | Наверх | Cообщить модератору

	36. Скрыто модератором	+/–
	Сообщение от Аноним (37), 18-Дек-24, 10:05
	Зачем такую хорошую ветку с историями про старые компы удалили?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема