URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 135599
[ Назад ]
Исходное сообщение
"Уязвимость в Apache Struts, позволяющая выполнить код на сервере"
Отправлено opennews , 17-Дек-24 17:30 
В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62424

Содержание
Сообщения в этом обсуждении
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 17:30 
> Страница на проприетарный confluence.

Про апач можно забыть. С таким отношением к спо.

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 18:34 
> Страница на проприетарный confluence.
> Про апач можно забыть. С таким отношением к спо.

Будто бы кому не наплевать, где там у них страница.

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 18-Дек-24 12:16 
>> Страница на проприетарный confluence.
>> Про апач можно забыть. С таким отношением к спо.
> Будто бы кому не наплевать, где там у них страница.

Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него что-нибудь покупать, и даже нахаляву брать - да ну нафиг. Если его процессы не работают даже для него самого - наверное, хреновый пекарь. И апач как продукт - тому подтверждение. Тормозной, жирный, оверинженернутый корпоравтиный монстр.

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено User , 19-Дек-24 03:22 
Ну, разве что в подвально-ремесленном 18 веке. В современном мире всем настолько похрен, что ест технолог производства - безглютеновую выпечку из здорового питания, эклеры из кондитерской или просто что было в магазине-у-дома - что просто похрен, рецептура (и, как следствие, органолептические свойства продукции) от этого зависят ровным счётом "никак".
А, не - вру. Есть ещё любители Германа Стерлигова)
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 19:43 
> Про апач можно забыть. С таким отношением к спо.

Вот бы зааплоадить им что-нибудь веселого за это... :)

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 17:35 
> в контейнере Apache Tomcat, запускаемом с правами root

Запускаем с привелегиями, затем контейнер героически пытается не допустить повышения прав. Зачем? Почему _просто_ не запустить обычный сервис от пользователя?

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 17:38 
Наверно очень понадобился порт 80 вместо 8080.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 17:41 
Для этого есть обратный прокси.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 18:06 
Перенаправить трафик с одного порта на другой — ставить обратный прокси? Системное администрирование уровня локалхост какое-то.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 19:45 
Все лишь твой уровень. В проде конечно же имеет смысл ставить обратный прокси, потому что
- за одним 80 портом скорее всего будут хоститься несколько приложений
- нужно централизованно терминировать TLS
- нужно масштабироваться (проксировать в несколько хостов с failover'ом и балансировкой)
- унификация access логов, централизованное кэширование, управление доступом, rate limit и т.д.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 22:39 
И всё на одном сервере? Ну, дела… Спать не жарко?
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 18-Дек-24 02:58 
Добро пожаловать в дивный мир кубернетиса, где поды могут быть как на одной машине, так и размазаны по всем железкам дата-центра.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено 1 , 18-Дек-24 09:12 
А причём тут кубертенис ? "Всё уже украдено до нас" (с)
На чём по твоему взлетел HA-Proxy ?
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 18-Дек-24 10:07 
Распределить сервисы по разным серверам можно без всякого кубернетеса.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено User , 19-Дек-24 04:06 
Ну в общем конечно да - но как то так получается, что с ним эксплуатировать в каком-никаком масштабе дешевле выходит.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 19-Дек-24 18:11 
Начали с томката от рута чтобы 80й порт слушать, а закончили кубернетесом. Угарные вы ребята.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 17:38 
> применялся в web-приложениях 65% компаний из списка Fortune 100

Помню ещё в 2007г struts рассматривался как нечто совсем легаси в мире Java.

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 17:39 
Ты хотел написать рассматривался как нечто совсем надёжное.  
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 17:39 
> Apache Struts

Впервые слышу о таком. Наверное что-то очень древнее из 2000-х.

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 17:40 
Выросло поколение.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено InuYasha , 19-Дек-24 11:21 
Ничего не упустил. facepalm на волне хайпа по жабе 2000ных.
"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 17-Дек-24 18:03 
> Если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root

Если… Я такое последний раз видел в начале двухтысячных, и уже тогда с недоумением.

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Хейтер , 18-Дек-24 12:03 
1. Не запускать контейнер сервлетов (Tomcat/Jetty/и т п) под рутом

2. Запускать контейнер сервлетов со включенным SecurityManager-ом (жаль что запретили в Java 17, впрочем тех кто еще использует Struts, это вряд ли волнует) и ограничениями в java.io.FilePermission

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено YetAnotherOnanym , 19-Дек-24 00:33 
> ../../../../../

фейспалм.жпг... какая детсадовская ошибка!

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Golangdev , 19-Дек-24 02:39 
> Apache Struts применялся в web-приложениях 65% компаний из списка Fortune 100
> данный фреймворк пользуется популярностью в корпоративных системах

забавно, что можно, оказывается, построить компанию уровня Fortune 100 на таком г-не.

"Уязвимость в Apache Struts, позволяющая выполнить код на сер..."
Отправлено Аноним , 19-Дек-24 18:17 
Потому что софт — это неприятная необходимость ведения бизнеса в современном мире, а не самоцель как привыкли думать кодеры на зарплате у этого самого бизнеса. Работает? Инвойсы рассылает? Вот и чудненько! А то, что некрасиво или язык не благословленный — вообще до лампочки. Кому это кроме 3½ нердов интересно?