В Apache Tomcat (http://tomcat.apache.org/), открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket, выявлена (http://www.mail-archive.com/announce@tomcat.apache.org/...) опасная уязвимость (CVE-2016-8735 (https://security-tracker.debian.org/tracker/CVE-2016-8735)), которая может привести к удалённому выполнению кода злоумышленника. Уязвимость присутствует в обработчике JmxRemoteLifecycleListener и идентична аналогичной проблеме (CVE-2016-3427 (https://security-tracker.debian.org/tracker/CVE-2016-3427)) в Java SE, без привлечения лишнего внимания исправленной компанией Oracle. Уязвимости присвоен статус опасной, но не критической проблемы, так как для успешной эксплуатации в системе требуется использование JmxRemoteLifecycleListener и открытие во вне портов JMX, что не типично для большинства установок. Проблема устранена в Apache Tomcat 9.0.0.M13, 8.5.8, 8.0.39, 7.0.73 и 6.0.48.URL: http://www.mail-archive.com/announce@tomcat.apache.org/...
Новость: http://www.opennet.dev/opennews/art.shtml?num=45551
IZen, что за фигня? Ты же сказал, что на java не бывает таких уязвимостей.
Я конечно не Изя и не сторонник жабы, но и у меня возникает к тебе вопрос: "Каких таких?". Ты хоть понял в чем ошибка была?
Кстати, в обычном С коде такой уязвимости как раз быть не может.
Т.е. открытая на весь мир админка теперь считается уязвимостью? Автора на мыло!
Кто-то Redis выставляет наружу, кто-то JMX :)
Т.е. открытая на весь мир админка теперь считается уязвимостью?
Ну это смотря кто считать будет. Кто-нибудь типа авторов mirai наоборот посчитает это за фичу - бесплатные ресурсы для ботнета намечаются.