The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в Apache Tomcat, допускающая удалённое выполнение кода

21.05.2020 21:50

Опубликованы сведения об уязвимости (CVE-2020-9484) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Проблема позволяет добиться выполнения кода на сервере через отправку специально оформленного запроса. Уязвимость устранена в выпусках Apache Tomcat 10.0.0-M5, 9.0.35, 8.5.55 и 7.0.104.

Для успешной эксплуатации уязвимости атакующий должен иметь возможность контролировать содержимое и имя файла на сервере (например, при наличии в приложении возможности загрузки документов или изображений). Кроме того, атака возможна только на системах, в которых используется PersistenceManager с хранилищем FileStore, в настройках которого параметр sessionAttributeValueClassNameFilter выставлен в значение "null" (по умолчанию, если не применяется SecurityManager) или выбран слабый фильтр, допускающий десериализацию объекта. Атакующий также должен знать или угадать путь к контролируемому им файлу, относительно местоположения хранилища FileStore.

  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и получить файлы web-приложений
  3. OpenNews: Уязвимости в Apache httpd и Apache Tomcat
  4. OpenNews: Опасная уязвимость в Apache Tomcat
  5. OpenNews: Уязвимость в устаревших выпусках Apache Tomcat, которая может привести к выполнению кода на сервере
  6. OpenNews: Зафиксирован самораспространяющийся червь, поражающий серверы Apache Tomcat
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53001-tomcat
Ключевые слова: tomcat, java, jsp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, kknight (ok), 22:21, 21/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прекрасно. У нас в оборонке полно примеров, когда томкат поставляется как "сертифицированное СПО". Дырка там будет жить ещё долго)
     
     
  • 2.7, одмин (?), 07:01, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    пффф... совсем недавно, ну относительно, в томкете была возможность доса через телнет
     
  • 2.26, MVK (??), 11:29, 25/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Tomcat под привилегированным пользователем с отключенным SecurityManager-ом запускают только имбецилы
     
     
  • 3.32, Аноним (32), 18:08, 25/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так он и пишет "в оборонке". Армейский метод, такие дела.
     

  • 1.2, Онаним (?), 22:34, 21/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По описанию - что-то суровое, типа автоматического выполнения кода из файлов с определённым расширением. Это примерно как .phar будет.
     
     
  • 2.3, Онаним (?), 22:35, 21/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Только в .phar надо было иметь возможность phar:// приписать, а тут похоже банально имя файла имеет значение.
     

  • 1.4, Нолекс (?), 02:25, 22/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Томкот вообще не нужен. Ни в оборонке, ни вообще. Что за де... личности его вообще пиарят? Уже лень делать нормальные веб-приложения?
     
     
  • 2.5, Gfdc (?), 03:07, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А на чем сервлеты запускать?
     
     
  • 3.9, лютый жабби__ (?), 11:28, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >А на чем сервлеты запускать?

    CentOS + wildfly разумеется. Ну, если есть лишнее бабло, RHEL+JBOSS...

     
     
  • 4.21, Аноним (21), 09:13, 24/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почему я должен запускать их в вайлдфлае каком-то ноунеймовом, про который я ни разу не слышал, если есть известный tomcat? Или там хотя бы glassfish?
     
  • 4.29, MVK (??), 11:40, 25/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >wildfly разумеется

    - а там такой дырки нет? или еще не нашли?

     
  • 2.8, лютый жабби__ (?), 11:27, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Томкот вообще не нужен. Ни в оборонке, ни вообще

    tomcat вообще везде, ибо шпринг заполонил... высунься из морозилки.

    Ну и уязвимость несколько сферичновакуумная, в проде попробуй найди "PersistenceManager с хранилищем FileStore, в настройках которого параметр sessionAttributeValueClassNameFilter выставлен в значение "null" (по умолчанию, если не применяется SecurityManager) или выбран слабый фильтр, допускающий десериализацию объекта"...

     
     
  • 3.10, Онаним (?), 11:49, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище.
     
     
  • 4.11, ALex_hha (ok), 12:46, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Шпринг, хибернейт... что ни поделка на них, то редкостное удолбище

    то ли дело элохтрон. Шо не проект - то искусство

     
     
  • 5.12, Онаним (?), 14:16, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Элохтрон вообще сразу закапывать вместе с поделками на нём, и искать нормальный софт.
     
     
  • 6.13, Аноним (13), 17:48, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На чем писать предлагаете? Плюсы? Питон? Заказчику чаще всего вообще пофигу, как оно технически реализовано - бабки за фичи платят и UX без страданий. Это бизнес, а джавка как была про большие бабки 20 лет назад, так и еще столько же будет. А уязвимости есть везде.
     
     
  • 7.15, Онаним (?), 18:18, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Читая вышеописанное, могу только предложить не писать ни на чём - мир станет чище.
     
  • 6.19, ALex_hha (ok), 11:58, 23/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну найди skype/slack на линух не на элохтроне
     
     
  • 7.20, Онаним (?), 14:29, 23/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ну найди skype/slack на линух не на элохтроне

    Но зачем? (с)

     
     
  • 8.33, ALex_hha (ok), 13:48, 26/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    корпоративные стандарты, а не хотелки админа локалхоста... текст свёрнут, показать
     
     
  • 9.35, Онаним (?), 19:54, 26/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Линуха со скайпом Эпичный вариант ужа с ежом, тут уже не стандарты получаются... текст свёрнут, показать
     
     
  • 10.37, max (??), 14:54, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Именно Скайп на Линуксе и уже давно Для работы часто нет альтернативы и тут не ... текст свёрнут, показать
     
  • 5.17, Lex (??), 08:17, 23/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Настолько толсто, что тонко.
    Электрон кнчн та ещё штука, но если пилить аналоги кроссплатформенных умеренно-нативных приложений на жабе, то едва ли они будут быстрее и скромнее по потреблению ресурсов.. и это даже не говоря о сложности и стоимости их дальнейшей поддержки итп.
     
     
  • 6.34, Карабьян (?), 15:04, 26/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот-вот, этим критиканам кажется, что кто-т будет забесплатно пилить то, что будет работать на их не самой мощной конфигурации
    Зы. Тоже люблю больше джаву, чм электрон
     
  • 4.25, лютый жабби__ (?), 09:41, 25/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Шпринг, хибернейт... что ни поделка на них

    Сейчас у всех хипсторов эластик без авторизации ) хотя наиболее "одаренные", работают и с носклями через hibernate, да...

     
  • 2.14, Аноним (13), 17:57, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    попробуй, живя в провинциальном городе, найти без релокации работу со строчкой в резюме "JAVA(JAKARTA) EE ONLY!!!!111". Такое чувство, будто комментит тайное братство джавистов за 50, которые опознают друг друга по татуировке EJB на предплечье.
     
     
  • 3.16, пох. (?), 23:22, 22/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну так не живи в жопе, не?

    Это как негру в центральной африке жаловаться, что что-то спроса на жаба-программистов в его деревне нет.
    Да тебя завтра разделают на жаркое для свадьбы старейшины, и запекут в соусе из местных жаб, беги оттуда, глупец!

    Или уж срочно учись вместо этого бесполезного - выделывать шкуры для ритуального свадебного там-тама (импортозамещение, называетсо!) - тогда может его и закажут не из твоей шкуры.

     
     
  • 4.18, Lex (??), 08:25, 23/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле, просто времена жабы постепенно уходят и она потихоньку, но неотвратимо, катится туда, где ей и место - т.е на помойку.

    Хотя, даже забавно, как иные её защищают, типо тру и вообще.
    Её - самое что ни есть хиповое *** на момент своего появления, ещё и так и не ставшее чем-то легковесным и простым( если не говорить о совсем кастрированных версиях ), проигравшее битву за веб( привет, апплеты, безумно жрущее и тормозное *, на фоне которого даже жс был легким и шустрым ) даже в отсутствии серьезных соперников.

     
     
  • 5.22, Аноним (21), 09:14, 24/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше уж апплеты, чем современный джс
     
     
  • 6.23, Lex (??), 21:53, 24/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Лучше уж апплеты, чем современный джс

    Дооо.

    (На винде):
    Прибиваю браузер, и запускаю с пустой домашней страницей..
    Через диспетчер задач прибиваю explorer.exe и всякое подобное..
    ...
    И всё это только ради того, чтобы открыть веб-страницу с апплетом и посмотреть, что сиё поделие вообще из себя представляет...
    Представляет обычную страницу какого-то каталога товаров с несколькими фильтрами и совершенно уродливыми кнопками и проч
    Но сжирает начисто почти всю память и любое действие в ней сопровождается лагами и хорошей нагрузкой ЦП.
    А сайты с js работали пусть и не идеально, но более чем хорошо на фоне этого недоразумения.
    И это ещё старый и уродливый js с кучей проблем, ограничений и недоработок.

    Веселые были времена.
    128Мб ОЗУ, Celeron 900МГц, Geforce Mx 440 - вполне тянуло даже Serious Sam и  C&C: Generals.
    Но для запуска какого-то чертова апплета приходилось прибивать даже процесс  эксплорера, т.к иначе происходил вылет из-за недостатка оперативки.

    Хотя, чего я рассказываю.
    Апплеты не были реальными конкурентами js, т.к речь на тот момент о разных весовых категориях - апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.

     
     
  • 7.28, MVK (??), 11:37, 25/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >апплеты, в итоге, конкурировали с флеш и с треском провалились даже в борьбе с оной.

    - кстати, давно что то не видно этого "победоносного" флэша, куда делась эта чудесная технология и тысячи разрабов которые строчили на могучем ActionScript?

     
     
  • 8.30, Lex (??), 12:04, 25/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я и не говорю, что он крут Но даже оказалось несравненно лучше жабашных апп... текст свёрнут, показать
     
     
  • 9.31, MVK (??), 12:40, 25/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    - с таким же успехом Вы можете утверждать что IE оказался несравненно лучше чем ... текст свёрнут, показать
     
  • 5.38, max (??), 14:59, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Лет 15 читаю как времена Java куда-то уходят, а он всё ещё самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать про это, пока он будет занимать первую строчку рейтингов :)
     
     
  • 6.39, Lex (??), 17:18, 30/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Лет 15 читаю как времена Java куда-то уходят, а он всё ещё
    > самый популярный язык для бэкэнда. Наверное ещё лет 15 буду читать
    > про это, пока он будет занимать первую строчку рейтингов :)

    Да, только вылетел из фронта со своими апплетами практически в отсутствии конкуренции, а ныне - заказчиками и разрабами все чаще и серьезней рассматриваются альтернативы ей( нода, питон.. и даже пых ).

    п.с: первую строчку рейтингов для применения в вебе жаба не занимает( у неё на уровне асп.нэт ).
    Возможно, вы смотрели какой-то очень специфический «рейтинг» или тот, в котором заодно считаются и все приложения под Андройд и модули для них :)

     
  • 3.27, MVK (??), 11:34, 25/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    JavaEE не самый сложный технологический стек и те кто не сумел его осилить, да еще и гордится этим, вызывают сожаление
     
     
  • 4.36, лютый жабби__ (?), 09:24, 27/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >JavaEE не самый сложный технологический стек

    Только мертвый уже... 95% вакансий про шпринг ( хотя можно вспомнить наблюдение "95% всего является..."

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру