The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и..."  +/
Сообщение от opennews (??), 29-Фев-20, 22:47 
Исследователи из китайской компании Chaitin Tech выявили уязвимость (CVE-2020-1938) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Уязвимости присвоено кодовое имя Ghostcat и критический уровень опасности (9.8 CVSS). Проблема позволяет в конфигурации по умолчанию через отправку запроса по сетевому порту 8009 прочитать содержимое любых файлов из каталога web-приложения, в том числе файлов с настройками и исходных текстов приложения...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52459

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 29-Фев-20, 22:47   –8 +/
> AJP

Хорошую вещь АЖЭПЭ не назовут.

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 29-Фев-20, 22:58   +3 +/
>Подразумевается, что доступ к AJP открыт только для доверенных серверов, но на деле в конфигурации по умолчанию Tomcat осуществлялся запуск обработчика на всех сетевых интерфейсах

Небезопасна конфигурация по-умолчанию бэкдором называется.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #19

3. Сообщение от пох. (?), 29-Фев-20, 23:02   +1 +/
эксперты опеннета...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8

4. Сообщение от Gemorroj (ok), 29-Фев-20, 23:14   –5 +/
но ведь жава безопасная, не то что пхп. (говорили они)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

5. Сообщение от Аноним (1), 29-Фев-20, 23:16   +6 +/
А ты сегодня уже выполнял third-party код через выполнение file_exists() над phar:// ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (6), 29-Фев-20, 23:21   +1 +/
Разве в SpringBoot ajp не надо включать отдельно?
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от neAnonim (?), 29-Фев-20, 23:53   –3 +/
Выражаю пренебрежение к java и всем завязанным на ней технологиях.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #30

8. Сообщение от Аноним (2), 29-Фев-20, 23:57   +3 +/
Что не так? Сделать конфигурацию по-умолчанию небезопасной - это гарантированный способ заиметь небезопасные установки при массовом использовании софта. Это очевидно. А потом нагибать.

Это как в сборку винды вставить радмин, активировать и настроить его по-умолчанию под удаленный доступ и выложить на торренты. Можно сказать, что пользователи сами виноваты, что качают и ставят и используют что попало ... но факта того, что при массовом использовании этой сборки будут установки с радмином, это не меняет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14

9. Сообщение от Аноним (9), 01-Мрт-20, 00:10   –7 +/
Пофиг, как будто найдётся такой идиот, кто выставит этот порт наружу
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

10. Сообщение от Java omnomnom your memory linux (?), 01-Мрт-20, 01:21   –6 +/
Есть оперативка, а если ещё осталось? Linux memory model (c)
проблемы есть у всего, так шо в этом контексте джава норм, а вообще котлин лучше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11, #21, #24

11. Сообщение от Аноним (11), 01-Мрт-20, 01:26   +1 +/
Как будто Kotlin-приложения под Tomcat не уязвимы к данной проблеме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #31

12. Сообщение от Аномном (?), 01-Мрт-20, 06:32   +3 +/
1.2 млн идиотов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #22

13. Сообщение от лютый жабби (?), 01-Мрт-20, 06:42   –4 +/
НОВОСТЬ БЕЗГРАМОТНО СОСТАВЛЕНА.

В wildfly ajp надо:
1. руками включить
2. открыть порт 8009

на 1.2млн дырявых жаб с васян-проектами или пустой заглушкой, есть 120 млн дырявых пыхов с васян-страничками. кому они нужны?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

14. Сообщение от лютый жабби (?), 01-Мрт-20, 06:58   +3 +/
>Что не так?

Ты не так.

Порт 8009 надо ещё на фаеволе открыть, а уже лет так 15 принято "открываем то, что нужно", а не "закрываем то, что ненужно".

Проверил, госуслуги и наложку - на всех есно эксплоиты не работают. Ну ок, пусть в инете остаются 1.2млн васян страниц проектов, у которых даже админа нет. Там небось в 95% и содержимого нет кроме дефолтной index.jsp.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15, #18, #20

15. Сообщение от КО (?), 01-Мрт-20, 07:50   +/
"Проверил, госуслуги и наложку - на всех есно эксплоиты не работают"
Эти нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

16. Сообщение от КО (?), 01-Мрт-20, 07:52   –1 +/
"начиная с выпущенной 13 лет назад"
Вот на чем шантаж основывают всякие кулхацкеры. Когда их методы палят - ищут другие.
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 01-Мрт-20, 08:13   +2 +/
В некоторых профилях он включён по умолчанию: "The AJP connector is enabled by default only in standalone-full-ha.xml, standalone-ha.xml and ha and full-ha profiles in domain.xml."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

18. Сообщение от macfaq (?), 01-Мрт-20, 09:44   –1 +/
> Порт 8009 надо ещё на фаеволе открыть, а уже лет так 15 принято "открываем то, что нужно", а не "закрываем то, что ненужно".

А ты юморист.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #27

19. Сообщение от Аноним (19), 01-Мрт-20, 10:40   +1 +/
Это обычная уязвимость, примерно 100% дефолтных конфигураций так выглядят. В интернете во всех гайдах тоже всегда предлагают биндить на все интерфейсы, потом имеем что имеем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25

20. Сообщение от Аноним (2), 01-Мрт-20, 11:51   –1 +/
К вам ещё не приехали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

21. Сообщение от Аноним (-), 01-Мрт-20, 13:45   +/
> Оперативка есть? А если найду?! (c) java memory model.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

22. Сообщение от Аноним (2), 01-Мрт-20, 14:11   –1 +/
Ничтожная доля всех вообще существующих идиотов, имеющих компьютеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23

23. Сообщение от neAnonim (?), 01-Мрт-20, 15:24   +/
но существенная среди тех, кто зарабатывает разработкой софта
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #29

24. Сообщение от Junker (?), 01-Мрт-20, 16:45   +/
Оперативка есть?... А если найду? (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

25. Сообщение от And (??), 01-Мрт-20, 22:05   –1 +/
Да как-то всегда netstat -antpu
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #26

26. Сообщение от And (??), 01-Мрт-20, 22:06   –1 +/
И тупить на результат до устранения 0.0.0.0 из левого столбца.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #28

27. Сообщение от Аноним (27), 01-Мрт-20, 22:46   +/
почему?
если закрыть все входящие порты кроме 2-3х нужных глупые "уязвимости" вроде этой и memcached открытого всем, тебя не коснутся.
Даже если случайно не уследишь за чем-то, всё равно соединиться не смогут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от пох. (?), 02-Мрт-20, 07:36   +/
Когда у тебя там кроме 0.0.0.0 только 127.0.0.1 - можешь не тупить.

А когда ты перестанешь быть админом локалхоста - прекрасное время, когда можно было тупить в экран - кончится. На большую часть своих томкэтовых хостов ты вообще зайдешь ровно ноль раз.

А настройки - скопипастишь те, что тебе прислал разработчик. Понятия не имея, что они, заодно, включают кластерный сервис вместе с api.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от пох. (?), 02-Мрт-20, 07:39   +/
они обычно сами томкэтов не ставят, если только на своем локалхосте, где оно как раз вполне безопастно. Ставят задачу девляпсу - "развернуть двадцать томкэтов в amazon cloud".
И готовый шаблон ему, найденый на stackoveflow где-то рядом с тем кодом, который они якобы-разработали.

А тот про tomcat вообще знает примерно ничего.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

30. Сообщение от Красноглазик (?), 02-Мрт-20, 18:54   +/
А что не так собственно с java, только хочется нормальной критики, а не вроде *амно много памяти жрет и всё в таком духе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #32

31. Сообщение от Красноглазик (?), 02-Мрт-20, 19:22   +/
здесь этой проблемы нет, котлин в вебе мертв.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

32. Сообщение от Ээээ (?), 03-Мрт-20, 17:04   +/
После 8-ки вразнос пошла. Все эти попытки псевдо-функционалку приколотить гвоздями. Получилось даже хуже, чем с обобщениями.
А так, вполне норм. Хорошо изучена, хорошо документирована, обширное сообщество (и даже иногда вполне знающие и адекватные представители в нём попадаются).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру