https://www.opennet.me/openforum/vsluhforumID3/110646.html Опубликовано (http://struts.apache.org/announce.html#a20170307) экстренное обновление web-фреймворка Apache Struts (2.3.32 и 2.5.10.1), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В новых выпусках устранена критическая 0-day уязвимость (https://cwiki.apache.org/confluence/display/WW/S2-045) (CVE-2017-5638 (https://security-tracker.debian.org/tracker/CVE-2017-5638)), которая уже несколько дней используется (http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html) злоумышленниками для получения контроля за сайтами, работающими под управлением Apache Struts. <br><br><br>Уязвимость позволяет выполнить произвольный код на сервере, отправив запрос со специально оформленным содержимым HTTP-заголовка "Content-Type". Проблема проявляется в выпусках Struts с 2.3.5 по 2.3.31 и с 2.5.0 по 2.5.10, и вызвана ошибкой в коде Multipart parser, применяемом для разбора запросов, состоящих из нескольких частей (multipart/form-data). В случае, если заголовок Co https://www.opennet.me/openforum/vsluhforumID3/110646.html#71 Wed, 13 Sep 2017 17:52:21 GMT &gt; пафосных лапчатых, слышали о нормальных дефолтах и у них есть такие <br>&gt; замечательные штуки, как монтирование с nonexec?<br><br>Они и у лапчатых есть, о непафосный. А ты уверен что яве вообще есть какое-то дело до всего этого? Может ей достаточно лишь прав на чтение файла, она же код сама генерит а система вообще не в курсе что этот читаемый файл будет еще и исполняться потом.<br> https://www.opennet.me/openforum/vsluhforumID3/110646.html#70 Sun, 19 Mar 2017 13:02:14 GMT Э, как-бы, Томкэт запустить не от рута нет никакой проблемы. Вообще. Тем более Гласфиш или ЖБосс. После этого любые подобные уловки, насколько я понимаю, не дадут ничего вообще.<br> https://www.opennet.me/openforum/vsluhforumID3/110646.html#69 Fri, 17 Mar 2017 13:17:24 GMT &gt; Не очень понимаю, что может дать возможность выполнить некий код с правами <br>&gt; запустившего контейнер. Чаще всего контейнер запускают от пользователя, <br><br>которого зовут root.<br><br>&gt; командного интерпретатора нет. Если же контейнер запускают из под root-а -- <br>&gt; ну такое ничем не лечится.<br><br>почитайте внимательно, через какую задницу предлагается запускать томкэт его разработчиками, чтобы было "не от рута". Ссылка на документацию - прямо в новости.<br><br>Не говоря уже о том, что на сервере, где работает томкэт, все ваши сенситивные данные, внезапно, доступны именно томэкту. А сам сервер по большому счету нахрен никому и не нужен.<br><br><br><br> https://www.opennet.me/openforum/vsluhforumID3/110646.html#68 Fri, 17 Mar 2017 13:12:16 GMT &gt; Никогда не мог понять сакральный смысл трех семёрок.<br><br>так проще, и оно работает - в отличие от твоих поделок<br>&gt; Вот почему не 'chmod 111', 'chmod 555' или 'chmod 7777'?<br><br>первое ломает скритовые языки, второе мешает самому же туда записать не от рута, третье в случае скрипта вызовет весьма вероятные сообщения интерпретатора о попытке сделать суидный скрипт вместо исполнения, при том что оба осташихся бита нафиг не нужны<br><br> https://www.opennet.me/openforum/vsluhforumID3/110646.html#67 Fri, 17 Mar 2017 13:06:16 GMT &gt; Может, все дело в том, что бздюки, в отличие от некоторых излишне пафосных лапчатых,<br>&gt; слышали о нормальных дефолтах <br><br>о нормальных они сроду не слышали - начиная от попыток автоматического сетапа в XXI веке создавать /tmp на физическом диске (или в виде zfs volume), и заканчивая ненужными для tmp softupdates, если все же заставить его создавать md, но специальным ключом вручную не озаботиться (и да, там у нас ufs, потому что попытки сделать "чистую" memory-backed fs разбились о неосиляторство - оно даже есть, но ухитряется работать хуже ufs over md)<br><br>&gt; и у них есть такие замечательные штуки, как монтирование с nonexec?<br><br>/tmp с noexec ? Поздравляю, ты сломал плагины mc, и, вероятно, не только их.<br><br>линукс, кстати (кроме того самого mc) noexec в /tmp пережил бы, но у него есть (отдельный) /var/tmp, где вполне себе создаются и исполняются в процессе нормальной работы файлы.<br>Начиная от пост и пре-инсталл скриптов в rpm. А, в недоделке по имени pkg до сих пор ничего подобного ниасилено? (угадайте, куда https://www.opennet.me/openforum/vsluhforumID3/110646.html#66 Thu, 16 Mar 2017 15:46:57 GMT Оригинальный взгляд на проблему. Очень. Что помешает запустить под фрёй контейнер от рута? Есть какой специальный "дух здравого смысла"? Демон здравого смысла, если винрарно.<br> https://www.opennet.me/openforum/vsluhforumID3/110646.html#65 Tue, 14 Mar 2017 15:19:15 GMT &gt;&gt;В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате атаки сразу может быть получен root-доступ к системе.<br>&gt; Веб-приложения с правами рута? Совсем поехавшие?<br><br>Ну ведь под рутом проще ))))<br> https://www.opennet.me/openforum/vsluhforumID3/110646.html#64 Tue, 14 Mar 2017 15:16:27 GMT Они для случаев, когда среду разворачивали как попало. Не скажу, что это редкое явление.<br> https://www.opennet.me/openforum/vsluhforumID3/110646.html#63 Tue, 14 Mar 2017 15:11:35 GMT Не очень понимаю, что может дать возможность выполнить некий код с правами запустившего контейнер. Чаще всего контейнер запускают от пользователя, для которого и командного интерпретатора нет. Если же контейнер запускают из под root-а -- ну такое ничем не лечится.<br>