forum.opennet.ru - "Уязвимость в Apache Struts, позволяющая выполнить код на сервере" (20)

"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"	+/–
Сообщение от opennews (??), 17-Дек-24, 17:30
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62424
Ответить \| Правка \| Cообщить модератору

Оглавление

Про апач можно забыть С таким отношением к спо , Аноним (1), 17:30 , 17-Дек-24, (1) –3

Будто бы кому не наплевать, где там у них страница , Аноним (15), 18:34 , 17-Дек-24, (15)

Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него ч, Аноним (-), 12:16 , 18-Дек-24, (39)

Скрыто модератором, Аноним (-), 19:43 , 17-Дек-24, (17)

Запускаем с привелегиями, затем контейнер героически пытается не допустить повыш, Аноним (1), 17:35 , 17-Дек-24, (3)

Наверно очень понадобился порт 80 вместо 8080 , Аноним (5), 17:38 , 17-Дек-24, (5)

Для этого есть обратный прокси , Аноним (1), 17:41 , 17-Дек-24, (10)

Перенаправить трафик с одного порта на другой 8212 ставить обратный прокси С, Аноним (13), 18:06 , 17-Дек-24, (13) +2

Все лишь твой уровень В проде конечно же имеет смысл ставить обратный прокси, п, Аноним (18), 19:45 , 17-Дек-24, (18) +5

И всё на одном сервере Ну, дела 8230 Спать не жарко , Аноним (13), 22:39 , 17-Дек-24, (30) –3

Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной маши, Аноним (31), 02:58 , 18-Дек-24, (31) +1

А причём тут кубертенис Всё уже украдено до нас с На чём по твоему взлетел, 1 (??), 09:12 , 18-Дек-24, (35)
Распределить сервисы по разным серверам можно без всякого кубернетеса , Аноним (37), 10:07 , 18-Дек-24, (37) +1

Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java , Аноним (5), 17:38 , 17-Дек-24, (4) +2

Ты хотел написать рассматривался как нечто совсем надёжное , Аноним (8), 17:39 , 17-Дек-24, (8) +3

Впервые слышу о таком Наверное что-то очень древнее из 2000-х , Аноним (7), 17:39 , 17-Дек-24, (7) +2

Выросло поколение , Аноним (8), 17:40 , 17-Дек-24, (9) +4

Если 8230 Я такое последний раз видел в начале двухтысячных, и уже тогда с нед, Аноним (13), 18:03 , 17-Дек-24, (12) +2
1 Не запускать контейнер сервлетов Tomcat Jetty и т п под рутом2 Запускать к, Хейтер (?), 12:03 , 18-Дек-24, (38)
Куда пропала борода , Аноним (40), 12:39 , 18-Дек-24, (40)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." –3 +/–

Сообщение от Аноним (1), 17-Дек-24, 17:30

> Страница на проприетарный confluence.
Про апач можно забыть. С таким отношением к спо.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +/–

Сообщение от Аноним (15), 17-Дек-24, 18:34

> Страница на проприетарный confluence.
> Про апач можно забыть. С таким отношением к спо.
Будто бы кому не наплевать, где там у них страница.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +/–

Сообщение от Аноним (-), 18-Дек-24, 12:16

>> Страница на проприетарный confluence.
>> Про апач можно забыть. С таким отношением к спо.
> Будто бы кому не наплевать, где там у них страница.
Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него что-нибудь покупать, и даже нахаляву брать - да ну нафиг. Если его процессы не работают даже для него самого - наверное, хреновый пекарь. И апач как продукт - тому подтверждение. Тормозной, жирный, оверинженернутый корпоравтиный монстр.

Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором +/–

Сообщение от Аноним (-), 17-Дек-24, 19:43

> Про апач можно забыть. С таким отношением к спо.
Вот бы зааплоадить им что-нибудь веселого за это... :)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +/–

Сообщение от Аноним (1), 17-Дек-24, 17:35

> в контейнере Apache Tomcat, запускаемом с правами root
Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +/–

Сообщение от Аноним (5), 17-Дек-24, 17:38

Наверно очень понадобился порт 80 вместо 8080.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +/–

Сообщение от Аноним (1), 17-Дек-24, 17:41

Для этого есть обратный прокси.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +2 +/–

Сообщение от Аноним (13), 17-Дек-24, 18:06

Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +5 +/–

Сообщение от Аноним (18), 17-Дек-24, 19:45

Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что
- за одним 80 портом скорее всего будут хоститься несколько приложений
- нужно централизованно терминировать TLS
- нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой)
- унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." –3 +/–

Сообщение от Аноним (13), 17-Дек-24, 22:39

И всё на одном сервере? Ну, дела… Спать не жарко?

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +1 +/–

Сообщение от Аноним (31), 18-Дек-24, 02:58

Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +/–

Сообщение от 1 (??), 18-Дек-24, 09:12

А причём тут кубертенис ? "Всё уже украдено до нас" (с)
На чём по твоему взлетел HA-Proxy ?

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +1 +/–

Сообщение от Аноним (37), 18-Дек-24, 10:07

Распределить сервисы по разным серверам можно без всякого кубернетеса.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

4. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +2 +/–

Сообщение от Аноним (5), 17-Дек-24, 17:38

> применялся в web-приложениях 65% компаний из списка Fortune 100
Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +3 +/–

Сообщение от Аноним (8), 17-Дек-24, 17:39

Ты хотел написать рассматривался как нечто совсем надёжное.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +2 +/–

Сообщение от Аноним (7), 17-Дек-24, 17:39

> Apache Struts
Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +4 +/–

Сообщение от Аноним (8), 17-Дек-24, 17:40

Выросло поколение.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +2 +/–

Сообщение от Аноним (13), 17-Дек-24, 18:03

> Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root
Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +/–

Сообщение от Хейтер (?), 18-Дек-24, 12:03

1. Не запускать контейнер сервлетов (Tomcat/Jetty/и т п) под рутом
2. Запускать контейнер сервлетов со включенным SecurityManager-ом (жаль что запретили в Java 17, впрочем тех кто еще использует Struts, это вряд ли волнует) и ограничениями в java.io.FilePermission

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..." +/–

Сообщение от Аноним (40), 18-Дек-24, 12:39

Куда пропала борода?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	–3 +/–
Сообщение от Аноним (1), 17-Дек-24, 17:30
> Страница на проприетарный confluence. Про апач можно забыть. С таким отношением к спо.
Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (15), 17-Дек-24, 18:34
	> Страница на проприетарный confluence. > Про апач можно забыть. С таким отношением к спо. Будто бы кому не наплевать, где там у них страница.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (-), 18-Дек-24, 12:16
	>> Страница на проприетарный confluence. >> Про апач можно забыть. С таким отношением к спо. > Будто бы кому не наплевать, где там у них страница. Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него что-нибудь покупать, и даже нахаляву брать - да ну нафиг. Если его процессы не работают даже для него самого - наверное, хреновый пекарь. И апач как продукт - тому подтверждение. Тормозной, жирный, оверинженернутый корпоравтиный монстр.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. Скрыто модератором	+/–
	Сообщение от Аноним (-), 17-Дек-24, 19:43
	> Про апач можно забыть. С таким отношением к спо. Вот бы зааплоадить им что-нибудь веселого за это... :)
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

3. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
Сообщение от Аноним (1), 17-Дек-24, 17:35
> в контейнере Apache Tomcat, запускаемом с правами root Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (5), 17-Дек-24, 17:38
	Наверно очень понадобился порт 80 вместо 8080.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от Аноним (1), 17-Дек-24, 17:41
	Для этого есть обратный прокси.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
	Сообщение от Аноним (13), 17-Дек-24, 18:06
	Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+5 +/–
	Сообщение от Аноним (18), 17-Дек-24, 19:45
	Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что - за одним 80 портом скорее всего будут хоститься несколько приложений - нужно централизованно терминировать TLS - нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой) - унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	–3 +/–
	Сообщение от Аноним (13), 17-Дек-24, 22:39
	И всё на одном сервере? Ну, дела… Спать не жарко?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+1 +/–
	Сообщение от Аноним (31), 18-Дек-24, 02:58
	Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
	Сообщение от 1 (??), 18-Дек-24, 09:12
	А причём тут кубертенис ? "Всё уже украдено до нас" (с) На чём по твоему взлетел HA-Proxy ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+1 +/–
	Сообщение от Аноним (37), 18-Дек-24, 10:07
	Распределить сервисы по разным серверам можно без всякого кубернетеса.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору

4. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
Сообщение от Аноним (5), 17-Дек-24, 17:38
> применялся в web-приложениях 65% компаний из списка Fortune 100 Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+3 +/–
	Сообщение от Аноним (8), 17-Дек-24, 17:39
	Ты хотел написать рассматривался как нечто совсем надёжное.
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
Сообщение от Аноним (7), 17-Дек-24, 17:39
> Apache Struts Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+4 +/–
	Сообщение от Аноним (8), 17-Дек-24, 17:40
	Выросло поколение.
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+2 +/–
Сообщение от Аноним (13), 17-Дек-24, 18:03
> Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.
Ответить \| Правка \| Наверх \| Cообщить модератору

38. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
Сообщение от Хейтер (?), 18-Дек-24, 12:03
1. Не запускать контейнер сервлетов (Tomcat/Jetty/и т п) под рутом 2. Запускать контейнер сервлетов со включенным SecurityManager-ом (жаль что запретили в Java 17, впрочем тех кто еще использует Struts, это вряд ли волнует) и ограничениями в java.io.FilePermission
Ответить \| Правка \| Наверх \| Cообщить модератору

40. "Уязвимость в Apache Struts, позволяющая выполнить код на сер..."	+/–
Сообщение от Аноним (40), 18-Дек-24, 12:39
Куда пропала борода?
Ответить \| Правка \| Наверх \| Cообщить модератору