Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: struts

Krytyczna podatność (RCE) w Struts. Wydawało się wszystkim, że została załatana w 2020 roku. Ale jednak nie…

15 kwietnia 2022, 11:35 | W biegu | 0 komentarzy
Krytyczna podatność (RCE) w Struts. Wydawało się wszystkim, że została załatana w 2020 roku. Ale jednak nie…

Chodzi o CVE-2021-31805 (niech Was nie zmyli rok w nazwie, podatność załatano co dopiero). Niby wcześniej załatano już CVE-2020-17530, no właśnie – „niby” bo udało się znaleźć obejście: Late last year, 2020, a fix for a remote code execution (RCE) vulnerability discovered by Alvaro Munoz and Masato Anzai, was published…

Czytaj dalej »

Jeden z największych wycieków danych w USA: dostali się do 48 baz danych, 9 tysięcy zapytań, wyłączony monitoring bo „wygasł certyfikat”, webshelle, …

12 grudnia 2018, 10:33 | W biegu | 1 komentarz

Raczej nikt nie chwali się wynikami analizy powłamaniowej, szczególnie gdy jest ona druzgocąca. Ale inaczej jest w przypadku Equifax. Przypomnijmy – w wyniku naruszeń bezpieczeństwa wyciekło niemal 150 milionów rekordów danych osobowych. Dodatkowo – około 200 000 numerów kart kredytowych. Obecnie mamy dostępny rządowy raport opisujący szczegóły incydentu. Polecam zerknąć przynajmniej…

Czytaj dalej »

Exploity NSA + podatności na Struts i Dotnetnuke użyte w nowej kampanii kopiącej kryptowalutę

22 grudnia 2017, 10:15 | W biegu | 0 komentarzy

F5 donosi o nowej, dość zaawansowanej kampanii o kryptonimie  Zealot.  Tym razem celem są zarówno hosty Windowsowe jak i Linuksowe, potrafi się też rozpowszechniać wewnątrz sieci. Warto zaznaczyć że wykorzystane są względnie świeże exploity (z tego roku) – zdalne wykonanie kodu w bibliotece Struts2 – tutaj wystarczy przesłać odpowiednio spreparowany…

Czytaj dalej »

Czy developerzy nauczyli się czegoś przez ostatnie kilka lat? RCE w Struts

11 września 2017, 16:29 | W biegu | komentarzy 6

Struts to popularna biblioteka (framework?), znana zapewne wielu fanom Javy. Znana jest ona również badaczom bezpieczeństwa, bowiem historia podatności jest tutaj dość pokaźna. Co ma XML do zdalnego wykonania kodu? Otóż podatność zasadza się na wykorzystaniu automatycznie wykorzystywanej deserializacji XML-a, przez komponent XStream wykorzystywany w Struts2. Ale o RCE czającym się…

Czytaj dalej »

Nie aktualizujesz javowej aplikacji? Możesz mieć duży problem (exploit na Apache Struts)

09 marca 2017, 10:23 | W biegu | 1 komentarz

Tytuł może być nieco mylący, bo chodzi nie tyle o aktualizowanie czy łatanie samej aplikacji, ale o monitorowanie wersji biblioteki Struts (czy ogólnie bibliotek). Popularny Apache Struts, właśnie załatał podatność umożliwiającą wykonanie kodu w OS na serwerze. Tymczasem w sieci realizowane są już próby exploitowania buga: Co robić? Po pierwsze…

Czytaj dalej »

Już niedługo masowe remote code execution?

27 listopada 2013, 10:35 | W biegu | 0 komentarzy

Niedawno bez większych fanfarów ogłoszono End-of-Life popularnej biblioteki Apache Struts 1. Co to oznacza? Na przykład brak aktualizacji bezpieczeństwa w Struts1: Given a major security problem or a serious bug is reported for Struts 1 in near future, can we expect a new release with fixes? As of now, actually…

Czytaj dalej »