Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах"	+/–
Сообщение от opennews (??), 31-Мрт-22, 10:22
В модуле Spring Core, поставляемом в составе фреймворка Spring Framework, выявлена критическая 0-day уязвимость, позволяющая неаутентифицированному удалённому атакующему выполнить свой код на сервере. Пока не ясно насколько катастрофичны могут быть последствия выявленной проблемы и будут атаки столь же массовыми, как в случае с уязвимостью в Log4j 2. CVE проблеме пока не присвоен. В Spring Framework проблема пока остаётся неисправленной и в сети уже доступно несколько рабочих прототипов эксплоитов (1, 2, 3, 4). Проблему усугубляет то, что многие корпоративные Java-приложения на базе Spring Framework выполняются с правами root и уязвимость позволяет сразу полностью скомпрометировать систему... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56941
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+14 +/–
Сообщение от Аноним (1), 31-Мрт-22, 10:22
Жаба как обычно, самая безопасная. Банально из-за сложности и многослойных нагромождений легаси.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+4 +/–
	Сообщение от А (??), 31-Мрт-22, 10:42
	Неа. > многие корпоративные Java-приложения на базе Spring Framework выполняются с правами root и уязвимость позволяет Дело в попытке быстро получить бизнес результат. Поэтому халтурят во все лопатки. И таки - да, оно в контейнерах под рутом, и без контейнером под рутом. Так руководство топит за скорость.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+9 +/–
	Сообщение от пох. (?), 31-Мрт-22, 10:56
	Как будто "не под рутом" что-то изменило бы. У жабаприложения и так есть доступ ко всему, что вообще представляет хоть какую-то ценность. Причем обычно это ВСЬО значительно больше и дальше чем никому ненужный контейнер в контейнере в контейнере, хоть ты там будь рутом, хоть Г-дом Б-гом, все равно от юзера nobody (от которого, допустим на минуточку, выполняется весь твой из себя такой сесюрный жабокод из этого контейнера) есть доступ к хранилищу документов, базам, сервисным системам и так далее - иначе бы этот жабокот в сферическом вакууме никому нужен и не был. Не в ту сторону воюете, ик-сперды по безопастносте.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–1 +/–
	Сообщение от А (??), 31-Мрт-22, 11:02
	Речь про отношение людей к теме. Это может и да, если всё в целом. А про рута история про снижение скорости развития вектора атаки, про уменьшение возможностей. И что это не делают сознательно.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–1 +/–
	Сообщение от пох. (?), 31-Мрт-22, 12:55
	Ну потому что правда ни от чего не поможет и только займет лишнее время. Обычно не от рута имеет смысл не ради этого а ради того что от рута у нас все еще вообще не все идеально работает - юникс-шмуникс какой-то, что-ли там был - некоторый софт все еще на полном серьезе рассчитывает, к примеру, что файл с правами 200 нельзя прочитать - и вместо ошибки доступа  получает полузаписавшиеся данные. Но это ж надо хотя бы суметь юзера внутри контейнера поменять.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от A (?), 31-Мрт-22, 14:55
	А уметь-то умеют. Только это ж работу работать надо. А на улице - весна.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от пох. (?), 31-Мрт-22, 16:24
	Не умеют. В гугле искать умеют - но это ж искать надо, а там спринт не ждет! На улице ночь полярная, я только что в окно выглядывал.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от пох. (?), 31-Мрт-22, 16:28
	ой, извини... сглазил... Нашли они в гугле, пока я тебе предыдущее писал... как тебе контейнер после запуска которого надо вручную поменять ВНУТРИ права на некоторые подкаталоги? А то оно туда хочет записать - но не может. (Ну, ясен пень, снаружи к нему мапится дофига всего чему тоже нужно поменять, лучше сразу на 666, а то они сами не в курсе какой там userid и какой будет после автопересборки их чудо continuous desintegration, но на фоне вот этой простоты "залезь и поменяй!" уже мелочи)
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–2 +/–
	Сообщение от Аноним (17), 31-Мрт-22, 11:58
	Получил root контейнера, а дальше с ним со делать? В контейнере кроме jvm  и приложения ничего нет.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	18. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от А (??), 31-Мрт-22, 12:02
	Там всякие капабилити включены, конт. привилегированный и прочие лёгкие способы достижения целей. Такая себе помойка.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от А (??), 31-Мрт-22, 12:05
	Даже встречал как за своё выдают основную и первую идею контейнеризации и изоляции - типа собственного изобретения "новый", свой!, способ применения для безопасности. Настолько много тех, кому неизвестно для чего всё было придумано. Настолько неиспользуется.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 12:58
	> В контейнере кроме jvm  и приложения ничего нет. А в конфиге приложения - всё, что нужно для доступа к БД, с которой это приложение работает.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	42. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от твой начальник (?), 31-Мрт-22, 14:15
	Поэтому я решил что конфиги - г-но, немедля поперекодить все так чтоб все сикретные данные были в сикретных местах в самом коде. И чтоб никто не мог их потом найти!
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 14:34
	Пральна, и каждый день выпускать апдейт, в котором всё будет в новых местах, чтобы хакеры не успевали узнать где и что спрятано.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от пох. (?), 31-Мрт-22, 16:29
	Но пароли будут всегда старые, потому что не все те места удается найти и поменять. Причем, разумеется, это пароль 123.
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Аноним (67), 31-Мрт-22, 16:42
	так это же не зависит от того root там или не root. Всё самое ценное будет доступно независимо от того  под каким пользователем java запущено.
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	71. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от пох. (?), 31-Мрт-22, 17:27
	> так это же не зависит от того root там или не root. > Всё самое ценное будет доступно независимо от того  под каким > пользователем java запущено. дык. Эспертам опеннета это понимание чуждо. Другой вопрос, правда, в том, что через какой-нибудь чатик сделанный индусским аутсорсером на от...сь и без поддержки потому что всего лишь чяаааатик - могут поломать инфраструктуру, потому что все контейнеры крутятся на одних и тех же серверах и иногда, уп-с, протекают. Но поможет ли от этого не-рут - в общем-то не факт. Например, предыдущие протечки позволяли запустить от нерута контейнер внутри контейнера - ой, с рутом. Который незамысловатыми телодвижениями внезапно становился системным рутом - с доступом ко всем контейнерам разом.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от Брат Анон (ok), 31-Мрт-22, 14:13
	Т.е. фактически вы своим постом подтвердили, что жаба тотальный легаси. Дело было только за желающим это легаси пошатать.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	27. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Аноним (27), 31-Мрт-22, 12:59
	Стандартная история с рефлексией-десериазилацией. Такое безопасно делать только по белым спискам. В любом, внезапно, языке, где есть что-то похожее. Это очень, кстати, похоже на старую уязвимость в Drupal - с именем функции-коллбэка в пейлоаде. Короче, в сотый раз те же грабли.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
Сообщение от name (??), 31-Мрт-22, 10:35
Спасибо г-споди, что я с этим больше не работаю.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от vellkira (?), 31-Мрт-22, 10:48
	А с чем работаете?
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от Аноним (14), 31-Мрт-22, 11:38
	не с этим
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+8 +/–
	Сообщение от Аноним (31), 31-Мрт-22, 13:13
	С лопатой на стройке
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–1 +/–
Сообщение от Анонимыч (?), 31-Мрт-22, 11:02
не воспроизвелось. Так херово работает все, что даже эксплойты не работают
Ответить | Правка | Наверх | Cообщить модератору

10. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–4 +/–
Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 11:06
Но ведь даже без учёта уязвимостей - жаба тормозная и жручая. Кто в здравом уме будет будет её использовать?
Ответить | Правка | Наверх | Cообщить модератору

	12. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+4 +/–
	Сообщение от Аноним (12), 31-Мрт-22, 11:16
	Производители железа одобряют
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Аноним (15), 31-Мрт-22, 11:39
	зайдите на хх.ру да спросите у всех тамошних работодателей из сферы ИТ
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	91. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Аноним (91), 05-Апр-22, 00:00
	Сейчас в результате февральских событий есть подозрение, что все это последие 30 лет были подсадные вакансии в подсадных проектах с нулевым результатом.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от А (??), 31-Мрт-22, 11:39
	А она настолько была прогрессивнее Сей, что профит от того поборол. Как написано - столько и жрёт. Кто хорошо пишет, тот тоже будет использовать.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	92. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Аноним (91), 05-Апр-22, 00:02
	Дак класс RC счетчика (а смарт поинтеры в плюсах уже из коробки) в сях можно написать за час рабочего времени В чем преимущество сегодня тогда в этих ваших джавах?
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от Z (??), 02-Май-22, 02:31
	> В чем преимущество сегодня тогда в этих ваших джавах? В синтаксисе. Язык идеален для ОЧЕНЬ больших проектов, и наоборот, совершенно не расчитан для одностраничных хеллоуворлдов. Про тормознутость тоже улыбнуло, ведь джава всего в полтора раза медленнее Си, в то время, как богомерзкий питон в десятки раз медленнее.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от Аноним (19), 31-Мрт-22, 12:04
	> тормозная и жручая Насчет жручести - может быть и правда, но тормоза - чистой воды фантастика. В яве тормозили только т.н. "ява-аплеты" (были популярны до того, как ты родился) и свинг. А серверная ява довольно шустра и всего в полтора раза медленнее плюсов (всякие пихтоны и пыхи -- на порядки порядков порядков медленнее плюсов). Любой, находящийся в здравом уме, предпочтет использовать уже состоявшуюся Платформу со стандартами на все случаи жизни вместо того, чтобы изобретать квадратное колесо в пихтонах/пыхах. Таких платформ сейчас всего две - сишарп и ява. Сишарп отбросим за его проприетарность. Остается только ява. Но на пихтонах/пыхах все еще можно клепать гостевухи -- там, где производительность не важна. Эта гостевуха блестяще справится с двумя-тремя пользователями в месяц.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	22. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от Аноним (22), 31-Мрт-22, 12:39
	> Но на пихтонах/пыхах все еще можно клепать гостевухи -- там, где производительность не важна. Эта гостевуха блестяще справится с двумя-тремя пользователями в месяц. 3000 одновременно залогиненых пользователей, каждый - на подсосе минимум одного вебсоскета. И всё это держит один пихтон-контейнер, ибо больше и не надо. Просто справляется и всё. Я сам не фанат пихтонов, пыхов и прочих жабогадюк, но попросил бы тебя не болтать ерундой при людях.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от server_push (?), 31-Мрт-22, 14:05
	> 3000 одновременно залогиненых пользователей, каждый - на подсосе минимум одного вебсоскета Целых 3 тысячи! При том что стек который это держит скорее всего чуть более, чем полностью сишный По секрету скажу что любой асинхронный jvm фреймворк у которого на github хотя бы 100 звездочек будет держать и 100к websocket А те кто тюнит джаву получал 12 млн еще в 2013 году https://migratorydata.com/blog/migratorydata-with-12-million.../
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Анонимыч (?), 31-Мрт-22, 16:04
	64к коннектов одновременно обрабатывали на нескольких томкатах, которые на одной тачке стояли. Обрабатывали бы и сильно больше, но обычно необходимости не было, поэтому роутер никто не менял. Еще помню, заказчик часть сервисов отдал пихтонистам и пыхыпешникам - те даже запросы подписывать и расшифровывать не умели, приходилось за них все делать.
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	63. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Анонимыч (?), 31-Мрт-22, 16:10
	а сессий десятки - сотни тысяч были и все летало на "тормозной" джаве. Надо просто писать нормально, тогда и лагать ничего не будет и ресурсов будет хватать на все. В том же постгресе миллиарды записей было, но мы даже на гибернейте работали с ним и нагружали одно ядро всего. Просто надо было запросы все оптимизировать, бд затюнить и кэши на серваке нормально настроить. А если писать кривыми руками, то вам и один пользователь сервак положить сможет
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	24. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–3 +/–
	Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 12:53
	> серверная ява довольно шустра Дооо... Уж мы сейчас как всю память в системе отхаваем, да все свои структуры данных как проинициализируем, да кэши как прогреем, да после этого как попрём, как попрём, так попрём, что о-го-го, как попрём, ой, что-то как-то всё тормозить стало, ой памяти не хватает, ой, для свопа уже раздела не хватает, ой, всё раком встало, даже оом киллер не успел нашу шуструю серверную жабу пристрелить.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	28. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от пох. (?), 31-Мрт-22, 13:01
	> ой, что-то как-то всё тормозить стало, ой памяти не хватает, ой, > для свопа уже раздела не хватает, ой, всё раком встало, даже > оом киллер не успел нашу шуструю серверную жабу пристрелить. это просто у тебя код г-но. Вот как надо правильно: "дорогая техподдержка - а чего это у нас через некоторое время работы вашего [очень ентер-прайсный протухт] он выжырает все выделенные жабовм терабайты, после чего начинает жрать еще и процессор как не в себя, так что и пристрелить его почти невозможно? - А это потому что когда у нас память кончается, автоматически запускается GC, шерстящий все эти понавыделенные терабайты. И чем больше их понавыделено тем медленнее он их перебирает. А поскольку памяти от этого нихрена не прибавляется - мы ему в подмогу запускаем еще один. И еще. И еще. Вот, теперь вам хорошо - у вас не только памяти нет, но и процессорные ядра все заняты непойми чем!"
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 13:06
	Ага, LA за сотню, и когда очередь дойдёт до оом киллера - еще неизвестно ))
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+3 +/–
	Сообщение от Аноним (19), 31-Мрт-22, 13:20
	> свои структуры данных как проинициализируем, да кэши как прогреем на яве пишут долгоиграющие приложения. То, что он будет раз в месяц запускаться секунд 10 - не важно, это же твой IИDEX.рнр, запускающийся с полного нуля при каждом запросе. > всю память в системе отхаваем не позорься, погугли про Xmx/Xms и возвращайся править IИDEX.рнр (напрямую через FTP естессно, и не забудь в битриксе активировать режим проактивной защиты).
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	35. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–4 +/–
	Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 13:51
	Вообще-то, кроме жабы на белом свете существуют не только php и python. Ну да ладно, не буду тебя грузить ненужностями.
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+2 +/–
	Сообщение от Аноним (19), 31-Мрт-22, 13:58
	Для корпоративных приложений кроме явы есть только сишарп, period. А так да, для твоих хелловорлдов и HQ9+ сойдет.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–3 +/–
	Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 14:08
	Ну да, ну да...
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–3 +/–
	Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 14:04
	> Остается только ява Да есть, вообще-то, на белом свете один ЯП, специально созданный для написания неубиваемого ПО, главным образом серверного, разрабы которого в своё время на вопрос "как ваш язык справляется с проблемой 10к соединений" удивлённо ответили "а разве 10к соединений - это проблема?", но ты не обращай внимания, забей, правило "меньше знаешь - крепче спишь" никто не отменял.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	43. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+4 +/–
	Сообщение от Аноним (19), 31-Мрт-22, 14:17
	но ты про этот язык никому не расскажешь, верно? А если и расскажешь, то выяснится, что "серверное ПО" и "корпоративное ПО" - это, мягко говоря, разные вещи, и требования к ним существенно отличаются.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–2 +/–
	Сообщение от YetAnotherOnanym (ok), 31-Мрт-22, 14:21
	Конечно нет, зачем людей смущать? Вон как они бодро плюсуют свои каменты, в их мире всё стройно, гармонично и однозначно, зачем им его ломать?
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+2 +/–
	Сообщение от Аноним (19), 31-Мрт-22, 14:30
	ну тогда продолжай пребывать в воображаемом мирке, где изобрели серебряную пулю "убийцу явы, сишарпа, сишки, неба, и вообще всего"
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Аноним (82), 01-Апр-22, 11:18
	Имя, брат, имя! Неужели эрланг богомерз... богоподобный или эликсир, на нем настоянный?
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	84. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от YetAnotherOnanym (ok), 01-Апр-22, 23:41
	Не могу, обещал не говорить. Но вобщем - те же яблоки, только в профиль.
	Ответить | Правка | Наверх | Cообщить модератору

13. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
Сообщение от Аноним12345 (?), 31-Мрт-22, 11:26
Бежать немедленно с этой жабы
Ответить | Правка | Наверх | Cообщить модератору

	46. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+2 +/–
	Сообщение от ms is a piece of s (?), 31-Мрт-22, 14:23
	Дети всегда куда-то бегут. Откуда-то или куда-то, неважно, направление задают эксперты на опеннете.
	Ответить | Правка | Наверх | Cообщить модератору

21. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–2 +/–
Сообщение от Смузихлёб (?), 31-Мрт-22, 12:06
Жаба это давно уже легаси сводящееся к поддержке и допилу под нужды. Джуны нафиг не нужны, поэтому учить с нуля точно не стоит.
Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
Сообщение от Аноним (23), 31-Мрт-22, 12:49
А к embedded tomcat не относится что-ли? Только если war-ник и на отдельном Tomcat сервере?
Ответить | Правка | Наверх | Cообщить модератору

	83. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от An onymous (?), 01-Апр-22, 21:03
	However, if Spring is deployed using the Embedded Tomcat Servlet Container the classloader is a LaunchedURLClassLoader which has limited access.
	Ответить | Правка | Наверх | Cообщить модератору

29. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
Сообщение от WebBonobo (?), 31-Мрт-22, 13:01
кто из опытных ушел из джавы в Го, как оно?
Ответить | Правка | Наверх | Cообщить модератору

	44. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от Брат Анон (ok), 31-Мрт-22, 14:18
	Я пытался подучить жабу как-то. Что меня с первого же шага выбесило -- нужно пройти регистрацию чтобы скачать СДК. Потом начал писать код по метаниту. И когда понял, что жаба не поддерживает UTF-8 -- сказать что я немного прифигел -- ничего не сказать. Дальше началась песня с какими-то промежуточными файлами, какими-то мутными настройками, манифестами... Короче меня это задолбало и  бросил учить. Гошечка просто кратно проще и логичней.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–2 +/–
	Сообщение от ms is a piece of s (?), 31-Мрт-22, 14:30
	Скорее всего разработка ПО это не твое. Уж жаба-то проще сей и крестов. Корпо-лопатный игого тоже не вариант, он за тебя качественный код не напишет.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+2 +/–
	Сообщение от Брат Анон (ok), 31-Мрт-22, 15:18
	> Скорее всего разработка ПО это не твое. Угу, наверное ты прав. Ответил главный эксперт блока по техническому развитию одной из госкорпораций.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–3 +/–
	Сообщение от Аноним (89), 04-Апр-22, 15:31
	> Ответил главный эксперт блока по техническому развитию одной из госкорпораций какая госкорпорация, такие и главные эксперты
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–1 +/–
	Сообщение от A (?), 31-Мрт-22, 14:54
	Да. Это трудная работа, писать код, в котором сложно отклониться от нужного. И инструмент давно уже вышел. Для Гошечки наработок мало. А под Жаву написано мириады уже делающего нужное кода. Гошечка смутила признаками сейчас недоделанности всех фич, которые задуманы вообще. Возможно.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	60. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–4 +/–
	Сообщение от Джавистсанитар (?), 31-Мрт-22, 15:37
	Большей шизофазии ппро джаву почти не встречал
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	69. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–2 +/–
	Сообщение от Аноним (67), 31-Мрт-22, 16:54
	Когда java разрабатывалась utf-8 еще небыло. Для внутренних строк используется единственная кодировка UTF-16, наружу она всю жизнь могла сохранять в любой кодировки, какую укажешь. А не укажешь, сохранит в системной.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	86. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+3 +/–
	Сообщение от Аноним (86), 02-Апр-22, 17:41
	это не аргумент. питон например еще старше и прожувал эту проблему. utf16 скорее бы уже всем забыть
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–1 +/–
	Сообщение от Аноним (89), 04-Апр-22, 15:28
	> Когда java разрабатывалась utf-8 еще небыло Жабка вышла в 95-ом. utf-8 - в 1992-ом. А используемый жабкой utf-16 - в 96-ом. Но в целом, это религиозный вопрос что лучше иметь внутри: utf-8, или utf-16.
	Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

	76. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–4 +/–
	Сообщение от eugener (ok), 31-Мрт-22, 22:12
	> жаба не поддерживает UTF-8 Насколько нужно затупить чтобы такое написать?
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	79. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+4 +/–
	Сообщение от Брат Анон (ok), 01-Апр-22, 09:09
	>> жаба не поддерживает UTF-8 > Насколько нужно затупить чтобы такое написать? Нисколько. Все файлы сохранял в UTF-8 (кодировка по умолчанию), и компилятор не стал исходник кушать, пока принудительно не сохранил в CP-1251.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от eugener (ok), 01-Апр-22, 09:25
	> Нисколько. Все файлы сохранял в UTF-8 (кодировка по умолчанию), и компилятор не > стал исходник кушать, пока принудительно не сохранил в CP-1251. Походу в винде дело происходило? У Java в винде кодировка по умолчанию как раз 1251, потому что это кодировка по умолчанию в Windows. У компилятора есть опция для указания кодировки. Я уж подумал что вы имели в виду что "жаба не поддерживает UTF-8" вообще. Решил что вы начали работать в 1996-ом году с JDK 1.0, там действительно не было работы с кодировками. И тогда же сразу разочаровались, не дождавшись версии 1.1 от 1997-го. И тогда же перешли на Go.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+3 +/–
	Сообщение от Брат Анон (ok), 03-Апр-22, 14:40
	> Походу в винде дело происходило? У Java в винде кодировка по умолчанию > как раз 1251, потому что это кодировка по умолчанию в Windows. > У компилятора есть опция для указания кодировки. Почему-то компилятору golang, или pyhon -- никакие кодировки указывать не надо. Нигде. Совсем. Java точно нормальные люди разрабатывали? Однобайтовая кодировка по умолчанию -- это из какого пещерного века стандарт? > Я уж подумал что вы имели в виду что "жаба не поддерживает > UTF-8" вообще. Решил что вы начали работать в 1996-ом году с > JDK 1.0, там действительно не было работы с кодировками. И тогда > же сразу разочаровались, не дождавшись версии 1.1 от 1997-го. И тогда > же перешли на Go. Нет, разумеется. Go ещё и 20 лет нету.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Z (??), 02-Май-22, 02:02
	Проблема с УТФ-8 в консоли винды – бага самой винды, а не джавы. Проблема старая ещё с до-юникодовой эпохи. Решается флагом -encode utf8.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	99. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Брат Анон (ok), 02-Май-22, 12:41
	> Проблема с УТФ-8 в консоли винды – бага самой винды, а не > джавы. Проблема старая ещё с до-юникодовой эпохи. Решается флагом -encode utf8. Ещё раз внимательно читаем текст. При чём тут консоль? При чём тут венда? utf8 -- это дефолтная кодировка у меня в IDE. Где вы всю эту чушь берёте? В каком месте я написал про венду и консоль?
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от ms is a piece of s (?), 31-Мрт-22, 14:34
	Игого корпо-лопатен на уровне генетики. Crystal прямой ему конкурент и заменитель.
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	56. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от A (?), 31-Мрт-22, 15:01
	> кто из опытных ушел из джавы в Го, как оно? Попробуй свой собственный ямл конфиг распарсить, со своей сложной схемой... Хороший пример, что иногда употеешь почти как на Яве, пока напишешь нужное. Вероятно дело в молодости языка. Мало наработок типа Спринга... :) Как появятся, так Гошечка тоже и ожиреет и притормозит. Позитив, что сырцы автоматически прикапываются в папочку на диске. И из той помойки можно в оффлайне собраться. Качество помойки не обязательно контролируется каким-либо автором. Но тут особой новизны нет. Всегда смотреть надо было.
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

	57. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от A (?), 31-Мрт-22, 15:01
	> кто из опытных ушел из джавы в Го, как оно? Попробуй свой собственный ямл конфиг распарсить, со своей сложной схемой... Хороший пример, что иногда употеешь почти как на Яве, пока напишешь нужное. Вероятно дело в молодости языка. Мало наработок типа Спринга... :) Как появятся, так Гошечка тоже и ожиреет и притормозит. Позитив, что сырцы автоматически прикапываются в папочку на диске. И из той помойки можно в оффлайне собраться. Качество помойки не обязательно контролируется каким-либо автором. Но тут особой новизны нет. Всегда смотреть надо было.
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

34. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
Сообщение от Аноним (34), 31-Мрт-22, 13:50
Проверил, на пашет если сервисы сделаны норм и разрешено только то, что разрешено, можно до усрачки создавать все, что угодно, доступа туда не будет. Но в целом прикольно.
Ответить | Правка | Наверх | Cообщить модератору

40. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+3 +/–
Сообщение от Funkey_33333 (?), 31-Мрт-22, 14:10
Еда... Есть в конторе бизнесовое приложение. Дико важное бизнесу. Пилят типа "мидлы', обученные де то на супер-курсах и в ютюбах. У нас, у админов, которые занимаются внедрением всей этой дичи, и обеспечением cicd и отказоустойчивости её, раньше была "палка", чтобы бить по рукам тем деятелям... После жалоб бизнесу на то, что мы тормозим их супер эффективный АДжаил своими придирками, и что им, несчастным, приходится тратить свое драгоценное время не на сам супер проект, а на ненужное замыкание дыр, бизнес у нас, вместе с ИБ отобрал "палку"... Вот так оно и живёт... Пипец, в общем.
Ответить | Правка | Наверх | Cообщить модератору

	96. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от Z (??), 02-Май-22, 02:11
	Бежать без оглядки надо из такой конторы. Работа должна приносить удовольствие, а потом уже деньги. Живём один раз, не хватало ещё мучать себя аджаилами.
	Ответить | Правка | Наверх | Cообщить модератору

51. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
Сообщение от ms is a piece of s (?), 31-Мрт-22, 14:41
Запускающим java приложения из под рута должны выдаваться трудовые книжки. Адекватный работодатель только так и должен поступать в своих же интересах.
Ответить | Правка | Наверх | Cообщить модератору

	90. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Фняк (?), 04-Апр-22, 17:27
	Уязвимости класса privilege elevation находят довольно часто, про них часто в новостях даже не пишут
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
	Сообщение от Z (??), 02-Май-22, 02:13
	Вы из какого года вещание? Трудовые книжки сейчас остались лишь в госучреждениях, в остальных случаях это договор на минимальную по закону ЗП + "бонусы".
	Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

52. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+1 +/–
Сообщение от Аноним (52), 31-Мрт-22, 14:47
> Эксплуатация уязвимости .. при .. Java/JDK 9 или более новой версии Любителям тащить в рот всё новое посвящается.
Ответить | Правка | Наверх | Cообщить модератору

59. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+2 +/–
Сообщение от IdeaFix (ok), 31-Мрт-22, 15:26
А кто-то использует что-то новее JAVA8 для серьезных задач? Там где легаси и копро... корпоративщина - там Java8, лог4ж 1.х и полные лепота и благолепие.
Ответить | Правка | Наверх | Cообщить модератору

	61. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	–1 +/–
	Сообщение от Stanislavvv (?), 31-Мрт-22, 15:47
	На уже предыдущей работе использовали java 11, что openjdk. Собирались java 13, но на момент увольнения проектов с 13 не было.
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от Аноним (67), 31-Мрт-22, 16:57
	>Собирались java 13 А какой смысл использовать не LTS? У нее же срок поддержки пол года, пока что-то дельное напишешь уже поддержку прекратили.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от ms is a piece of s (?), 31-Мрт-22, 16:53
	JDK 11 она LTS и много где давно уже используется. Через год можно будет уже 17 использовать на не сильно критичных задачах.
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	73. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от лютый жабби__ (?), 31-Мрт-22, 18:10
	>кто-то использует что-то новее JAVA8 для серьезных задач почти все вакансии во всяких криптостартапах, яндексы, тупкофф и остальном подобном ) но если им сказать, что они дурачки, не поверят
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	75. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от IdeaFix (ok), 31-Мрт-22, 21:48
	>>кто-то использует что-то новее JAVA8 для серьезных задач > почти все вакансии во всяких криптостартапах, яндексы, тупкофф и остальном подобном ) > но если им сказать, что они дурачки, не поверят Поддерживаю несколько легаси проектов (моё легаси еще поддерживается разработчиком) на java8 и с любопытством смотрю на гитхабе.... в легаси версиях 100% новостей - бекпортирование фич, а в куррент версии на ява11 - сплошные цве. Вот тебе и копро-легаси.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от лютый жабби__ (?), 31-Мрт-22, 23:03
	>Поддерживаю несколько легаси проектов поискал бы нормальную работу ) >а в куррент версии на ява11 - сплошные цве а я уже накатил 2.6.6 и забыл ) хотя у нас только один проект из кучи был "надо чтобы на томкэте разворачивалось в виде WAR", остальные unaffected
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
	Сообщение от IdeaFix (ok), 02-Апр-22, 13:31
	> поискал бы нормальную работу ) Хз, мне нравится... к тому же, поддержка легаси - это скорее дополнительное на парт-тайм.
	Ответить | Правка | Наверх | Cообщить модератору

72. "Критическая 0-day уязвимость в Spring Framework, применяемом..."	+/–
Сообщение от Аноним (72), 31-Мрт-22, 17:30
Предложенное решение НЕ сработает! условие внутри матчера "patternMatchUtils" не выполнится "if (simpleMatch(pattern, str))" в следствии чего поля не будут удалены в методе "checkAllowedFields(MutablePropertyValues mpvs)" вызовом метода mpvs.removePropertyValue(pv); - класс DataBinder
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема