forum.opennet.ru - "Критическая уязвимость в Apache Struts" (27)

"Критическая уязвимость в Apache Struts"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в Apache Struts"	+/–
Сообщение от opennews (?), 06-Сен-17, 09:09
Опубликовано (http://struts.apache.org/announce.html#a20170905) обновление web-фреймворка Apache Struts 2.5.13 (http://struts.apache.org), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В состав выпуска включено исправление критической уязвимости (https://struts.apache.org/docs/s2-052.html) (CVE-2017-9805 (https://security-tracker.debian.org/tracker/CVE-2017-9805)), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется (https://lgtm.com/blog/apache_struts_CVE-2017-9805) при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяется по умолчанию). Пользователям рекомендуется как можно скорее установить исправление, так как не исключено повторение весенней массированной атаки (https://www.opennet.me/opennews/art.shtml?num=46167) на корпоративные сети, в которых применяются приложения на базе Apache Struts (по статистике (https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement) около 65% компаний из списка Fortune 100 используют приложения на базе Struts и почти во всех подобных корпоративных приложениях используется плагин REST). В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho...) с правами root, в результате атаки сразу может быть получен root-доступ к системе. Проблема затрагивает все версии Apache Struts, выпущенные с 2008 года, и пока остаётся неисправленной в дистрибутивах Debian (https://security-tracker.debian.org/tracker/CVE-2017-9805), EPEL-7 (https://bugzilla.redhat.com/show_bug.cgi?id=1488487), Ubuntu (https://usn.ubuntu.com/usn/) (в SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9805), Fedora и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=1488482) Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST. URL: https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement Новость: http://www.opennet.me/opennews/art.shtml?num=47139
Ответить \| Правка \| Cообщить модератору

Оглавление

95 , Аноним (-), 10:27 , 06-Сен-17, (9) +1

Недавно один провайдер VDS VPS переносил виртуалки на другое оборудование, у н, Аноним (-), 11:47 , 06-Сен-17, (13) +2

Ну, вот как раз для вебовской VDS разница невелика - рута поломают или простого , Crazy Alex (ok), 12:04 , 06-Сен-17, (14)

это если в нее не понапихано стотыщ дерьмохостингов разом А оно обычно так и де, пох (?), 12:09 , 06-Сен-17, (16) –2

ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или н, Аноним (-), 12:19 , 06-Сен-17, (18)

ну опять же - а что за д л писал автоматический скрипт Если он хотел просто спа, пох (?), 12:23 , 06-Сен-17, (20)

Возможно достаточно примитивный и просто желавший денег без особых усилий , Аноним (-), 01:55 , 14-Сен-17, (40)

Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает Занятно, Crazy Alex (ok), 12:21 , 06-Сен-17, (19)

атож щас посчитал - на моей домашнестраничилке 61 штук А это ж даже не бизне, пох (?), 12:32 , 06-Сен-17, (22)

В смысле поломают рута У вас ничего от рута не работает, 10-к сайтов с базами д, Аноним (-), 12:14 , 06-Сен-17, (17)

Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли , Crazy Alex (ok), 12:28 , 06-Сен-17, (21)

Обычно всегдаодна vds 800р без стоимости рук, это вроде не много, но и микр, Аноним (-), 13:53 , 06-Сен-17, (28)

Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете , Аноним (-), 12:37 , 06-Сен-17, (24) +2

а вас в какой каталог занести , Аноним (-), 13:54 , 06-Сен-17, (29) –1

причем оставшиеся пять совершенно не понимают, зачем они это делают - вычитали в, пох (?), 12:06 , 06-Сен-17, (15) +1

Хм, я вот согласен, но для разнообразия - вот альтернативы 1 случай, когда собс, Crazy Alex (ok), 12:34 , 06-Сен-17, (23)

ну, какие-то они все теоретические На практике - struts штука тяжелая ибо жабо, пох (?), 13:23 , 06-Сен-17, (26) –1

Да я по поводу рассказа о VDS и руте говорил, struts - тут да, всё понятно Хотя, Crazy Alex (ok), 13:30 , 06-Сен-17, (27)

Жаба безопасная С Квааа, _ (??), 16:36 , 06-Сен-17, (31) –1

Да врали все пацаны Из джавы можно даже rm -rf сделать От рута , виндотролль (ok), 17:17 , 06-Сен-17, (32) +2
Жаба не течёт, лиса не тормозит, хромой не пухнет, плазма не падает, пульса не и, Аноним (-), 19:45 , 06-Сен-17, (33)
и такие люди как ты называют себя инженерами Причем тут жаба Какой-то плагин, Очередной аноним (?), 09:29 , 07-Сен-17, (35) –1

при том, что жабоеды так пели, так пели - у нас так не бывает, у нас язык нас с, пох (?), 15:30 , 07-Сен-17, (36)

Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8 а на несколько уро, лютый жабист__ (?), 11:24 , 08-Сен-17, (37)

Конечно готов _Озвучить_ Но ты медленный В соседней http www opennet ru ope, Andrey Mitrofanov (?), 11:50 , 08-Сен-17, (38)

Сишники опять на 10 лет опоздали JSF уже написали, причём 13 лет назад ХЗ про, лютый жабист__ (?), 13:56 , 08-Сен-17, (39)

небезопасная десериализация XMLhttps www youtube com watch v mdS4DnjpMkgвот он, Аноним (-), 08:04 , 07-Сен-17, (34)

Сообщения [Сортировка по ответам | RSS]

9. Сообщение от Аноним (-), 06-Сен-17, 10:27 +1 +/–

> В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root.
95%

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #15

13. Сообщение от Аноним (-), 06-Сен-17, 11:47 +2 +/–

Недавно один провайдер VDS/VPS переносил виртуалки на "другое" оборудование, у нас свалился серевер ( точнее сервер то живой остался но полетели exim/apache/mariadb, начали разбираться - в каталогах слетели права на папки ( что-то там в настройках xen на сервере было не то ), так вот что больше всего поразило, это то что при переносе у большинства виртуалок всё было нормально со слов хостинга, а наша система оказалась чувствительной к семне прав.
Я сначала даже засомневался, но закрались смутные сомнения, если всё работает под root, то ведь и не свалится, и не заметишь :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14, #24

14. Сообщение от Crazy Alex (ok), 06-Сен-17, 12:04 +/–

Ну, вот как раз для вебовской VDS разница невелика - рута поломают или простого юзера, так что они могли быть даже где-то правы... Только на фиг такие прецеденты.
Кстати, в докерах всяких ещё всё обычно от рута крутится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #16, #17

15. Сообщение от пох (?), 06-Сен-17, 12:06 +1 +/–

> 95%
причем оставшиеся пять совершенно не понимают, зачем они это делают - вычитали в древних книжках что от рута работать низзя.
ЧТО, чорд подери, может быть такого ценного на, внимание - сервере бронирования авиабилетов -  кроме, сцук, самого, блжад, бронирования - как софта, так и его данных, вы там что - параллельно на одной виртуалке еще два десятка хостингов котиков в мариядeбиле завели?
Если вам поломали систему авиабронирования - будьте уверены, котики этих ребят не интересуют. А доступ к тазе банных у них _уже_есть_ - даже если это оракл на вообще другом конце шарика. Потому что он у системы бронирования был.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #23

16. Сообщение от пох (?), 06-Сен-17, 12:09 –2 +/–

> Ну, вот как раз для вебовской VDS разница невелика
это если в нее не понапихано стотыщ дерьмохостингов разом. А оно обычно так и делают.
А вот как раз взрослым системам - совершенно все равно.
> Кстати, в докерах всяких ещё всё обычно от рута крутится.
опять же - предположим даже у тебя все было "правильно", и стратс крутился в докер-контейнере, и не от рута. Кому от этого щастье, если все, к чему он имел доступ, поимел внезапно хацкер васья?
Ну, может на drop database у него прав не хватит, и это - к сожалению, потому что такое как раз сразу заметишь, и восстановишь снапшот. А поменять что-нибудь в базе - и ты об этом никогда не узнаешь и от легальной транзакции никак не отличишь. (а докер еще и уменьшает шансы сделать правильный проактивный ids...впрочем, кто их на деле делает)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #18, #19

17. Сообщение от Аноним (-), 06-Сен-17, 12:14 +/–

> Ну, вот как раз для вебовской VDS разница невелика - рута поломают
> или простого юзера, так что они могли быть даже где-то правы...
> Только на фиг такие прецеденты.
В смысле поломают рута? У вас ничего от рута не работает, 10-к сайтов с базами данных, сломать по идее можно www-data (или конкретного user-a, конкретную БД) что-то сделать дальше надо много ручного труда ( что дорого и нетривиально, у одного одни настройки у другого другие ) а вот если вы ломанули root-а то там можно действовать "автоматически"
p.s.Не говоря уже о разделении прав для разных сайтов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #21

18. Сообщение от Аноним (-), 06-Сен-17, 12:19 +/–

>> Кстати, в докерах всяких ещё всё обычно от рута крутится.
> опять же - предположим даже у тебя все было "правильно", и стратс
> крутился в докер-контейнере, и не от рута. Кому от этого щастье,
> если все, к чему он имел доступ, поимел внезапно хацкер васья?
ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или нет, если за вас взялись вручную и цель слить данные, то скорее неважно какой там уровень защиты в системе после вскрытия калитки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #20

19. Сообщение от Crazy Alex (ok), 06-Сен-17, 12:21 +/–

Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает? Занятно, что сказать. Я думал, оно умерло вместе с "домашними страничками".
Насчёт докеров - это было предположение, почему именно могло быть всё от рута на упомянутых vds. А так - о том и речь, что рут там или нет - разница невелика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #22

20. Сообщение от пох (?), 06-Сен-17, 12:23 +/–

> ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или нет,
ну опять же - а что за д..л писал автоматический скрипт?
Если он хотел просто спам с тебя порассылать, или как jumphost употребить - то и твои потери в любом случае невелики. А если это автоматический скрипт по поиску сливабельных ценных данных, то ему как раз в этом докере будет уютно и приятно, после автоперезапуска по графику (как это принято у контейнерных) ты и следов-то его не найдешь, а он уже все унес, что хотел.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #40

21. Сообщение от Crazy Alex (ok), 06-Сен-17, 12:28 +/–

Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли и слить базу. Для этого хватит автоматики под www-data с головой. Тем более, что используется скорее всего ещё и какая-то стандартная CMS или фреймворк как минимум.
Разделение прав для разный сайтов на одной vds - поможет, но бывает редко - там, где есть смысл (то есть больше полутора посетителей), обычно в одну vds их не пихают. Хотя если контейнеры... но насколько они распространены в таких случаях - понятия не имею.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #28

22. Сообщение от пох (?), 06-Сен-17, 12:32 +/–

> Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает?
атож!
> Занятно, что сказать. Я думал, оно умерло вместе с "домашними страничками".
щас посчитал - на моей "домашнестраничилке" 61 штук. А это ж даже не бизнес, так, шефская помощь соседнему колхозу в обмен на картошку. А то, откуда этих 61 выперли за неплатежеспособность - там счет на многие сотни и vds не одна.
> Насчёт докеров - это было предположение, почему именно могло быть всё от
> рута на упомянутых vds. А так - о том и речь,
я полагаю, дело в другом - чудо-разработчики подобных домашних страничек делают ЭТО под виндой (без всяких WSL), и от переноса на юниксы у них "все сломалось, ничего не работает, админы, за что вам зарплату платят". case issue и \ / ты как-нибудь им пофиксишь, а если этого недостаточно - скажи спасибо контейнерам, а то ж вообще непонятно, как с этим жить.
Забавно, что еще лет десять назад было бы по-другому - от рута хрен бы что работало, ломаясь в самых неожиданных местах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Crazy Alex (ok), 06-Сен-17, 12:34 +/–

Хм, я вот согласен, но для разнообразия - вот альтернативы:
1) случай, когда собственно сайт с базой на фиг не нужен (потому что там и так котики а не авиабилеты), а вот файрволл покрутить да поназапускать своих сервисов надо
2) с рутом шанс попасться таки гораздо меньше - логи там потереть аккуратно, руткит засунуть...
3) с рутом попытаться вылезти на хост (особенно если это контейнер, а не виртуализация). А там - другие жертвы рядом

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #26

24. Сообщение от Аноним (-), 06-Сен-17, 12:37 +2 +/–

> слетели права на папки
> а наша система оказалась чувствительной к семне прав.
Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #29

26. Сообщение от пох (?), 06-Сен-17, 13:23 –1 +/–

> Хм, я вот согласен, но для разнообразия - вот альтернативы:
ну, какие-то они все теоретические. На практике - struts штука тяжелая (ибо жабо), требует специальных знаний, а не наспех прочитанной книжки пехепе для дворников, и под котиков его вряд ли кто поставит, и в шаред-системы тоже. Скорее еще и отдельным файрволлом обтыкают (ибо верить в его надежность и без этой новости не приходится)
А если не под котиков - то надо срочно затыкать дырья, а не надеяться что к тебе пришли чужих котиков поназапускать, рута не найдут и с горя удалятся.
это, конечно, ни разу не совет всем забить и запускать томкэтов от рута, скорее - не сильно плакать по поводу рута, если уже запускаешь томкэт ;-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #27

27. Сообщение от Crazy Alex (ok), 06-Сен-17, 13:30 +/–

Да я по поводу рассказа о VDS и руте говорил, struts - тут да, всё понятно. Хотя для него вариант "тихо сидеть руткитом и собирать данные" резко становится интересным.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

28. Сообщение от Аноним (-), 06-Сен-17, 13:53 +/–

> Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли и
> слить базу. Для этого хватит автоматики под www-data с головой. Тем
> более, что используется скорее всего ещё и какая-то стандартная CMS или
> фреймворк как минимум.
Обычно != всегда
> Разделение прав для разный сайтов на одной vds - поможет, но бывает
> редко - там, где есть смысл (то есть больше полутора посетителей),
> обычно в одну vds их не пихают. Хотя если контейнеры... но
> насколько они распространены в таких случаях - понятия не имею.
одна vds ~ 800р без стоимости рук, это вроде не много, но и микро-бизнес не миллионы приносит, а посещаемость большая для стандартных "хостингов php сайтов" они не тянут(не тянули, это и было причиной поселения в vds первого экземпляра).
Контейнеры в такой ситуации overhead это же не ваш личный xen-server с несколькими виртуалками :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

29. Сообщение от Аноним (-), 06-Сен-17, 13:54 –1 +/–

>> слетели права на папки
>> а наша система оказалась чувствительной к семне прав.
> Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете.
а вас в какой каталог занести?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

31. Сообщение от _ (??), 06-Сен-17, 16:36 –1 +/–

Жаба безопасная! (С) Квааа

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #33, #35

32. Сообщение от виндотролль (ok), 06-Сен-17, 17:17 +2 +/–

Да врали все пацаны. Из джавы можно даже rm -rf сделать. От рута.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

33. Сообщение от Аноним (-), 06-Сен-17, 19:45 +/–

Жаба не течёт, лиса не тормозит, хромой не пухнет, плазма не падает, пульса не икает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (-), 07-Сен-17, 08:04 +/–

небезопасная десериализация XML
https://www.youtube.com/watch?v=mdS4DnjpMkg
вот она какая эта безопасная джаба

Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Очередной аноним (?), 07-Сен-17, 09:29 –1 +/–

и такие люди как ты называют себя инженерами... Причем тут жаба? Какой-то плагин в каком-то левом фреймворке (да, да, fortune 100) написанный криворукими (или невыспавшимися) быдлoкодерами принимает извне какой-то сериализованный объект, десериализует его на сервере и не анализируя что это за ява-класс без проверок запускает в работу. Ну чо, конечно ява виновата, не фреймворк. Ява должна была обрубать все такие возможности (сериализация/десериализация, RPC да и вообще работу с сетью и файловой системой) чтобы быдлoкодеры не могли левые фреймворки на ней писАть. Разрешить только цифры складывать. Ладно, ладно, еще и вычитать разрешим. Ой, а ну как переполнение будет. Нет, арифметику тоже запретим.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #36

36. Сообщение от пох (?), 07-Сен-17, 15:30 +/–

> Причем тут жаба?
при том, что жабоеды так пели, так пели - "у нас так не бывает, у нас язык нас страхует от ужасов указателей (других-то ужасов давно не бывает), у нас gc, у нас круто, а все остальные устарели на стодесять лет и им место на свалке"
мы им аж верить иногда начинали... потом, правда, слегка отпускало, и снова пробивало на ржач.
> Ява должна была обрубать все такие возможности
а чо, нет, оказываетсо? героической победы над указателями недостаточно? А как дысал, как дысал...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #37

37. Сообщение от лютый жабист__ (?), 08-Сен-17, 11:24 +/–

>жабоеды так пели
Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а на несколько уровней выше в одном из 20 web-фреймворков.
Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы JSF.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #38

38. Сообщение от Andrey Mitrofanov (?), 08-Сен-17, 11:50 +/–

>>жабоеды так пели
> Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а
> на несколько уровней выше в одном из 20 web-фреймворков.
> Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы
> JSF.
Конечно готов! _Озвучить_. Но ты медленный. В соседней http://www.opennet.me/openforum/vsluhforumID3/112178.html#0 [если меня склероз не обманывает] уже и озвучили, и модераторы потёрли, "пишу, мол, на C++14 -- web20 фрымворк".
Поспрашай там  --  тебе ответят!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #39

39. Сообщение от лютый жабист__ (?), 08-Сен-17, 13:56 +/–

>пишу, мол, на C++14 -- web20 фрымворк
Сишники опять на 10 лет опоздали. JSF уже написали, причём  13 лет назад. ХЗ про веб2нольность в первых версиях, но несколько лет этому добру уже точно есть.
Промышленное качество, куча внедрений. ;) Я думаю, сишники к появлению web5.0 напишут этот свой "web20 фрымворк на C++14", а там опять переписывать на c++27 и web5.0 :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

40. Сообщение от Аноним (-), 14-Сен-17, 01:55 +/–

> ну опять же - а что за д..л писал автоматический скрипт?
Возможно достаточно примитивный и просто желавший денег без особых усилий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

9. Сообщение от Аноним (-), 06-Сен-17, 10:27	+1 +/–
> В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root. 95%
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #15

13. Сообщение от Аноним (-), 06-Сен-17, 11:47	+2 +/–
Недавно один провайдер VDS/VPS переносил виртуалки на "другое" оборудование, у нас свалился серевер ( точнее сервер то живой остался но полетели exim/apache/mariadb, начали разбираться - в каталогах слетели права на папки ( что-то там в настройках xen на сервере было не то ), так вот что больше всего поразило, это то что при переносе у большинства виртуалок всё было нормально со слов хостинга, а наша система оказалась чувствительной к семне прав. Я сначала даже засомневался, но закрались смутные сомнения, если всё работает под root, то ведь и не свалится, и не заметишь :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #14, #24

14. Сообщение от Crazy Alex (ok), 06-Сен-17, 12:04	+/–
Ну, вот как раз для вебовской VDS разница невелика - рута поломают или простого юзера, так что они могли быть даже где-то правы... Только на фиг такие прецеденты. Кстати, в докерах всяких ещё всё обычно от рута крутится.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #16, #17

15. Сообщение от пох (?), 06-Сен-17, 12:06	+1 +/–
> 95% причем оставшиеся пять совершенно не понимают, зачем они это делают - вычитали в древних книжках что от рута работать низзя. ЧТО, чорд подери, может быть такого ценного на, внимание - сервере бронирования авиабилетов - кроме, сцук, самого, блжад, бронирования - как софта, так и его данных, вы там что - параллельно на одной виртуалке еще два десятка хостингов котиков в мариядeбиле завели? Если вам поломали систему авиабронирования - будьте уверены, котики этих ребят не интересуют. А доступ к тазе банных у них _уже_есть_ - даже если это оракл на вообще другом конце шарика. Потому что он у системы бронирования был.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #23

16. Сообщение от пох (?), 06-Сен-17, 12:09	–2 +/–
> Ну, вот как раз для вебовской VDS разница невелика это если в нее не понапихано стотыщ дерьмохостингов разом. А оно обычно так и делают. А вот как раз взрослым системам - совершенно все равно. > Кстати, в докерах всяких ещё всё обычно от рута крутится. опять же - предположим даже у тебя все было "правильно", и стратс крутился в докер-контейнере, и не от рута. Кому от этого щастье, если все, к чему он имел доступ, поимел внезапно хацкер васья? Ну, может на drop database у него прав не хватит, и это - к сожалению, потому что такое как раз сразу заметишь, и восстановишь снапшот. А поменять что-нибудь в базе - и ты об этом никогда не узнаешь и от легальной транзакции никак не отличишь. (а докер еще и уменьшает шансы сделать правильный проактивный ids...впрочем, кто их на деле делает)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #18, #19

17. Сообщение от Аноним (-), 06-Сен-17, 12:14	+/–
> Ну, вот как раз для вебовской VDS разница невелика - рута поломают > или простого юзера, так что они могли быть даже где-то правы... > Только на фиг такие прецеденты. В смысле поломают рута? У вас ничего от рута не работает, 10-к сайтов с базами данных, сломать по идее можно www-data (или конкретного user-a, конкретную БД) что-то сделать дальше надо много ручного труда ( что дорого и нетривиально, у одного одни настройки у другого другие ) а вот если вы ломанули root-а то там можно действовать "автоматически" p.s.Не говоря уже о разделении прав для разных сайтов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #21

18. Сообщение от Аноним (-), 06-Сен-17, 12:19	+/–
>> Кстати, в докерах всяких ещё всё обычно от рута крутится. > опять же - предположим даже у тебя все было "правильно", и стратс > крутился в докер-контейнере, и не от рута. Кому от этого щастье, > если все, к чему он имел доступ, поимел внезапно хацкер васья? ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или нет, если за вас взялись вручную и цель слить данные, то скорее неважно какой там уровень защиты в системе после вскрытия калитки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #20

19. Сообщение от Crazy Alex (ok), 06-Сен-17, 12:21	+/–
Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает? Занятно, что сказать. Я думал, оно умерло вместе с "домашними страничками". Насчёт докеров - это было предположение, почему именно могло быть всё от рута на упомянутых vds. А так - о том и речь, что рут там или нет - разница невелика.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #22

20. Сообщение от пох (?), 06-Сен-17, 12:23	+/–
> ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или нет, ну опять же - а что за д..л писал автоматический скрипт? Если он хотел просто спам с тебя порассылать, или как jumphost употребить - то и твои потери в любом случае невелики. А если это автоматический скрипт по поиску сливабельных ценных данных, то ему как раз в этом докере будет уютно и приятно, после автоперезапуска по графику (как это принято у контейнерных) ты и следов-то его не найдешь, а он уже все унес, что хотел.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #40

21. Сообщение от Crazy Alex (ok), 06-Сен-17, 12:28	+/–
Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли и слить базу. Для этого хватит автоматики под www-data с головой. Тем более, что используется скорее всего ещё и какая-то стандартная CMS или фреймворк как минимум. Разделение прав для разный сайтов на одной vds - поможет, но бывает редко - там, где есть смысл (то есть больше полутора посетителей), обычно в одну vds их не пихают. Хотя если контейнеры... но насколько они распространены в таких случаях - понятия не имею.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #28

22. Сообщение от пох (?), 06-Сен-17, 12:32	+/–
> Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает? атож! > Занятно, что сказать. Я думал, оно умерло вместе с "домашними страничками". щас посчитал - на моей "домашнестраничилке" 61 штук. А это ж даже не бизнес, так, шефская помощь соседнему колхозу в обмен на картошку. А то, откуда этих 61 выперли за неплатежеспособность - там счет на многие сотни и vds не одна. > Насчёт докеров - это было предположение, почему именно могло быть всё от > рута на упомянутых vds. А так - о том и речь, я полагаю, дело в другом - чудо-разработчики подобных домашних страничек делают ЭТО под виндой (без всяких WSL), и от переноса на юниксы у них "все сломалось, ничего не работает, админы, за что вам зарплату платят". case issue и \ / ты как-нибудь им пофиксишь, а если этого недостаточно - скажи спасибо контейнерам, а то ж вообще непонятно, как с этим жить. Забавно, что еще лет десять назад было бы по-другому - от рута хрен бы что работало, ломаясь в самых неожиданных местах.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

23. Сообщение от Crazy Alex (ok), 06-Сен-17, 12:34	+/–
Хм, я вот согласен, но для разнообразия - вот альтернативы: 1) случай, когда собственно сайт с базой на фиг не нужен (потому что там и так котики а не авиабилеты), а вот файрволл покрутить да поназапускать своих сервисов надо 2) с рутом шанс попасться таки гораздо меньше - логи там потереть аккуратно, руткит засунуть... 3) с рутом попытаться вылезти на хост (особенно если это контейнер, а не виртуализация). А там - другие жертвы рядом
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #26

24. Сообщение от Аноним (-), 06-Сен-17, 12:37	+2 +/–
> слетели права на папки > а наша система оказалась чувствительной к семне прав. Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #29

26. Сообщение от пох (?), 06-Сен-17, 13:23	–1 +/–
> Хм, я вот согласен, но для разнообразия - вот альтернативы: ну, какие-то они все теоретические. На практике - struts штука тяжелая (ибо жабо), требует специальных знаний, а не наспех прочитанной книжки пехепе для дворников, и под котиков его вряд ли кто поставит, и в шаред-системы тоже. Скорее еще и отдельным файрволлом обтыкают (ибо верить в его надежность и без этой новости не приходится) А если не под котиков - то надо срочно затыкать дырья, а не надеяться что к тебе пришли чужих котиков поназапускать, рута не найдут и с горя удалятся. это, конечно, ни разу не совет всем забить и запускать томкэтов от рута, скорее - не сильно плакать по поводу рута, если уже запускаешь томкэт ;-)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #27

27. Сообщение от Crazy Alex (ok), 06-Сен-17, 13:30	+/–
Да я по поводу рассказа о VDS и руте говорил, struts - тут да, всё понятно. Хотя для него вариант "тихо сидеть руткитом и собирать данные" резко становится интересным.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26

28. Сообщение от Аноним (-), 06-Сен-17, 13:53	+/–
> Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли и > слить базу. Для этого хватит автоматики под www-data с головой. Тем > более, что используется скорее всего ещё и какая-то стандартная CMS или > фреймворк как минимум. Обычно != всегда > Разделение прав для разный сайтов на одной vds - поможет, но бывает > редко - там, где есть смысл (то есть больше полутора посетителей), > обычно в одну vds их не пихают. Хотя если контейнеры... но > насколько они распространены в таких случаях - понятия не имею. одна vds ~ 800р без стоимости рук, это вроде не много, но и микро-бизнес не миллионы приносит, а посещаемость большая для стандартных "хостингов php сайтов" они не тянут(не тянули, это и было причиной поселения в vds первого экземпляра). Контейнеры в такой ситуации overhead это же не ваш личный xen-server с несколькими виртуалками :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

29. Сообщение от Аноним (-), 06-Сен-17, 13:54	–1 +/–
>> слетели права на папки >> а наша система оказалась чувствительной к семне прав. > Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете. а вас в какой каталог занести?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

31. Сообщение от _ (??), 06-Сен-17, 16:36	–1 +/–
Жаба безопасная! (С) Квааа
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #32, #33, #35

32. Сообщение от виндотролль (ok), 06-Сен-17, 17:17	+2 +/–
Да врали все пацаны. Из джавы можно даже rm -rf сделать. От рута.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31

33. Сообщение от Аноним (-), 06-Сен-17, 19:45	+/–
Жаба не течёт, лиса не тормозит, хромой не пухнет, плазма не падает, пульса не икает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (-), 07-Сен-17, 08:04	+/–
небезопасная десериализация XML https://www.youtube.com/watch?v=mdS4DnjpMkg вот она какая эта безопасная джаба
Ответить \| Правка \| Наверх \| Cообщить модератору

35. Сообщение от Очередной аноним (?), 07-Сен-17, 09:29	–1 +/–
и такие люди как ты называют себя инженерами... Причем тут жаба? Какой-то плагин в каком-то левом фреймворке (да, да, fortune 100) написанный криворукими (или невыспавшимися) быдлoкодерами принимает извне какой-то сериализованный объект, десериализует его на сервере и не анализируя что это за ява-класс без проверок запускает в работу. Ну чо, конечно ява виновата, не фреймворк. Ява должна была обрубать все такие возможности (сериализация/десериализация, RPC да и вообще работу с сетью и файловой системой) чтобы быдлoкодеры не могли левые фреймворки на ней писАть. Разрешить только цифры складывать. Ладно, ладно, еще и вычитать разрешим. Ой, а ну как переполнение будет. Нет, арифметику тоже запретим.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31 Ответы: #36

36. Сообщение от пох (?), 07-Сен-17, 15:30	+/–
> Причем тут жаба? при том, что жабоеды так пели, так пели - "у нас так не бывает, у нас язык нас страхует от ужасов указателей (других-то ужасов давно не бывает), у нас gc, у нас круто, а все остальные устарели на стодесять лет и им место на свалке" мы им аж верить иногда начинали... потом, правда, слегка отпускало, и снова пробивало на ржач. > Ява должна была обрубать все такие возможности а чо, нет, оказываетсо? героической победы над указателями недостаточно? А как дысал, как дысал...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35 Ответы: #37

37. Сообщение от лютый жабист__ (?), 08-Сен-17, 11:24	+/–
>жабоеды так пели Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а на несколько уровней выше в одном из 20 web-фреймворков. Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы JSF.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #36 Ответы: #38

38. Сообщение от Andrey Mitrofanov (?), 08-Сен-17, 11:50	+/–
>>жабоеды так пели > Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а > на несколько уровней выше в одном из 20 web-фреймворков. > Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы > JSF. Конечно готов! _Озвучить_. Но ты медленный. В соседней http://www.opennet.me/openforum/vsluhforumID3/112178.html#0 [если меня склероз не обманывает] уже и озвучили, и модераторы потёрли, "пишу, мол, на C++14 -- web20 фрымворк". Поспрашай там -- тебе ответят!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37 Ответы: #39

39. Сообщение от лютый жабист__ (?), 08-Сен-17, 13:56	+/–
>пишу, мол, на C++14 -- web20 фрымворк Сишники опять на 10 лет опоздали. JSF уже написали, причём 13 лет назад. ХЗ про веб2нольность в первых версиях, но несколько лет этому добру уже точно есть. Промышленное качество, куча внедрений. ;) Я думаю, сишники к появлению web5.0 напишут этот свой "web20 фрымворк на C++14", а там опять переписывать на c++27 и web5.0 :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #38

40. Сообщение от Аноним (-), 14-Сен-17, 01:55	+/–
> ну опять же - а что за д..л писал автоматический скрипт? Возможно достаточно примитивный и просто желавший денег без особых усилий.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20