https://opennet.me/openforum/vsluhforumID3/135599.html В web-фреймворке Apache Struts, применяемом для создания web-приложений на языке Java с использованием парадигмы ММС (Model-View-Controller), выявлена уязвимость (CVE-2024-53677). Уязвимость даёт возможность внешнему злоумышленнику записать файл в произвольное место файловой системы на сервере через отправку специально оформленного HTTP-запроса. Проблема затрагивает выпуски с 2.0.0 по 2.3.37, c 2.5.0 по 2.5.33 и с 6.0.0 по 6.3.0.2, и проявляется в приложениях, использующих компонент FileUploadInterceptor за загрузки файлов сервер...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62424<br> https://opennet.me/openforum/vsluhforumID3/135599.html#50 Thu, 19 Dec 2024 15:17:47 GMT Потому что софт &#8212; это неприятная необходимость ведения бизнеса в современном мире, а не самоцель как привыкли думать кодеры на зарплате у этого самого бизнеса. Работает? Инвойсы рассылает? Вот и чудненько! А то, что некрасиво или язык не благословленный &#8212; вообще до лампочки. Кому это кроме 3&#189; нердов интересно? <br> https://opennet.me/openforum/vsluhforumID3/135599.html#49 Thu, 19 Dec 2024 15:11:07 GMT Начали с томката от рута чтобы 80й порт слушать, а закончили кубернетесом. Угарные вы ребята.<br> https://opennet.me/openforum/vsluhforumID3/135599.html#48 Thu, 19 Dec 2024 08:21:23 GMT Ничего не упустил. facepalm на волне хайпа по жабе 2000ных.<br> https://opennet.me/openforum/vsluhforumID3/135599.html#47 Thu, 19 Dec 2024 01:06:02 GMT Ну в общем конечно да - но как то так получается, что с ним эксплуатировать в каком-никаком масштабе дешевле выходит. <br> https://opennet.me/openforum/vsluhforumID3/135599.html#46 Thu, 19 Dec 2024 00:22:13 GMT Ну, разве что в подвально-ремесленном 18 веке. В современном мире всем настолько похрен, что ест технолог производства - безглютеновую выпечку из здорового питания, эклеры из кондитерской или просто что было в магазине-у-дома - что просто похрен, рецептура (и, как следствие, органолептические свойства продукции) от этого зависят ровным счётом "никак".<br>А, не - вру. Есть ещё любители Германа Стерлигова) <br> https://opennet.me/openforum/vsluhforumID3/135599.html#45 Wed, 18 Dec 2024 23:39:08 GMT &gt; Apache Struts применялся в web-приложениях 65% компаний из списка Fortune 100<br>&gt; данный фреймворк пользуется популярностью в корпоративных системах<br><br>забавно, что можно, оказывается, построить компанию уровня Fortune 100 на таком г-не.<br> https://opennet.me/openforum/vsluhforumID3/135599.html#44 Wed, 18 Dec 2024 21:33:24 GMT &gt; ../../../../../<br><br>фейспалм.жпг... какая детсадовская ошибка!<br> https://opennet.me/openforum/vsluhforumID3/135599.html#39 Wed, 18 Dec 2024 09:16:40 GMT &gt;&gt; Страница на проприетарный confluence.<br>&gt;&gt; Про апач можно забыть. С таким отношением к спо.<br>&gt; Будто бы кому не наплевать, где там у них страница.<br><br>Вообще-то да, если пекарь покупает пирожки у конкурента - очень странно у него что-нибудь покупать, и даже нахаляву брать - да ну нафиг. Если его процессы не работают даже для него самого - наверное, хреновый пекарь. И апач как продукт - тому подтверждение. Тормозной, жирный, оверинженернутый корпоравтиный монстр.<br> https://opennet.me/openforum/vsluhforumID3/135599.html#38 Wed, 18 Dec 2024 09:03:55 GMT 1. Не запускать контейнер сервлетов (Tomcat/Jetty/и т п) под рутом<br><br>2. Запускать контейнер сервлетов со включенным SecurityManager-ом (жаль что запретили в Java 17, впрочем тех кто еще использует Struts, это вряд ли волнует) и ограничениями в java.io.FilePermission<br>