В http-сервере Apache выявлена (https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTION...) уязвимость (CVE-2017-9798 (https://security-tracker.debian.org/tracker/CVE-2017-9798)), которая опубликована под кодовым именем Optionsbleed. Уязвимость проявляется на системах с разрешённым HTTP-методом OPTIONS и может привести к утечке отрывков памяти, содержащих остаточные данные от обработки текущим процессом запросов от других клиентов системы совместного хостинга.
Для тестирования подверженности своих систем проблеме подготовлен (https://github.com/hannob/optionsbleed) прототип эксплоита. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, так как для атаки требуется изменение настроек через файл .htaccess. В частности, утечка данных из памяти возникает при выполнении запроса OPTIONS, если в директиве Limit задано ограничение для несуществующего или незарегистрированного HTTP-метода. В этом случае при выполнении запроса OPTIONS отдаётся содержимое уже освобождённого блока памяти, в котором могут находиться конфиденциальные данные от выполнения прошлых запросов.
Несмотря на специфичные условия проявления проблемы сканирование миллиона крупнейших сайтов по рейтингу Alexa выявило 466 проблемных хостов, в которых при имеющихся настройках происходит утечка данных.
При этом, по заявлению разработчиков Apache, риск от данной уязвимости незначителен, так как можно получить лишь значение нескольких лишних байтов памяти. Исправление пока доступно в виде патча (для ветки 2.2 (https://blog.fuzzing-project.org/uploads/apache-2.2-optionsb...), для ветки 2.4 (https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/ser...)).Дополнительно можно отметить выявление (http://openwall.com/lists/oss-security/2017/09/19/1) уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет загрузить на сервер JSP-файл через специально оформленный запрос HTTP PUT из затем выполнить его с правами серверного процесса. Проблема проявляется только на платформе Windows при включении метода HTTP PUT. Также сообщается об ещё одной уязвимости (CVE-2017-12616), которая может привести к просмотру кода размещённых на сервере JSP-файлов, если данные файлы упоминаются в настройках директивы VirtualDirContext. Проблемы устранены в выпуске
Apache Tomcat 7.0.81 (http://tomcat.apache.org/).URL: http://openwall.com/lists/oss-security/2017/09/18/2
Новость: http://www.opennet.me/opennews/art.shtml?num=47234
Что происходит с продуктами Apache в последнее время? Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?
На самом деле Ынтырпрайз по большей части на джаве, а где джава -- там и томкат, а с Ынтырпрайза можно попытаться поиметь профит используя вымогатели и уязвимости...Кроме того вэб-сервер апача вроде как тоже один из самых распространённых.
А кому интересно ломать то, что никем не используется? ;)
думаю, это последствия атаки на apache struts. может стат.анализаторы завезли, или еще что
да ничего с ними не происходит - к миллиону известных дыр прибавилась еще парочка.
образцом хорошего кода они никогда и не были.Вряд ли наняли - скорее, студиозусы заинтересовались и быстренько расковыряли что сверху лежало.
> Они наняли каких-то крутых спецов, и теперь проверяют всё на наличие дыр?Нет, просто существующие спецы начали работать.
Надоели уже с собственными именами для дыр...
То ли дело легкозапоминающееся и благозвучное CVE-2017-9798...
Или ты просто поныть, а более внятного повода не нашёл?
но ведь давать имя каждой ошибке и правда бред
> но ведь давать имя каждой ошибке и правда бредДают не каждой, а только самым серьёзным (по возможным последствиям).
Это, по-твоему, серьёзно? Затронуто 0,04% установок, опасность есть только для шаредов, и вообще непонятно, что можно из этих жалких нескольких байтов извлечь.
>выявление уязвимости (CVE-2017-12615) в Apache Tomcat 7.x, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocketЯва неуязвима!
Режим трололо (мощность 3.5 трл):
Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."), который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.
> Ява не при делах. Это всё результат опенсорса ("...открытой реализации технологий..."),
> который пишется студентами и малооплачиваемыми новичками в конторках типа RedНat.томкэт написан сановским инженером, думаю, вполне нехило оплачивавшимся в те-то благословенные годы. Сопровождается апачом, то есть, забесплатно вот вообще.
А кто на винде контейнер сервлетов запускает в продакшене?
Если у вас нон-прод на винде, как у вас прод может быть не на винде? А нон-прод на винде получается очень просто: "а нам только попробовать", "а вот же сервер, поставьте сюда, покупать не нужно"
Легко, разработчик предпочитает винду, сервер - Linux.
А вы наверное хотите чтобы было наоборот: сервер предпочитает винду, разработчик - Linux.
Нет, вопрос был: "А кто на винде контейнер сервлетов запускает в продакшене?"
Конечно, лучше докер на продакшене запустить.
> Проблема проявляется только на платформе Windowsгораздо смачнее, когда уязвимости становятся кроссплатформенными, как в случае с Апач-Струтса на Кисках.
> как в случае с Апач-Струтса на Кискахвы не владеете темой.
циска - это не только маршрутизаторы с мипсой внутри, это еще и просто коммерческий софт (и много чего еще). Весь струтс - он в софте, софт работает под обычным редхатом (или "почти-редхатом" - чтоб денег никому не платить) на обычном писюковом сервере, ничего "кроссплатформенного".