В web-фреймворке Grails, предназначенном для разработки web-приложений в соответствии с парадигмой MVC на Java, Groovy и на других языках для JVM, выявлена уязвимость, позволяющая удалённо выполнить свой код в окружении, в котором выполняется web-приложение. Эксплуатация уязвимости производится через отправку специально оформленного запроса, предоставляющего атакующему доступ к ClassLoader. Проблема вызвана недоработкой в логике привязки данных (data-binding), которая используется как при создании объектов, так и при ручной привязке при помощи bindData. Проблема устранена в выпусках...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57545

• Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,erthink, 21:12 , 24-Июл-22
• Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,ыы, 22:07 , 24-Июл-22
• Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 22:39 , 24-Июл-22
  • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 22:45 , 24-Июл-22
    • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 00:24 , 25-Июл-22
      • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 11:14 , 25-Июл-22
        • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 12:13 , 25-Июл-22
          • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 12:20 , 25-Июл-22
            • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 12:33 , 25-Июл-22
              • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 12:36 , 25-Июл-22
    • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 00:30 , 25-Июл-22
      • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 11:12 , 25-Июл-22
        • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,another_one, 11:49 , 25-Июл-22
          • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 11:56 , 25-Июл-22
        • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 12:17 , 25-Июл-22
          • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 12:31 , 25-Июл-22
        • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 12:24 , 25-Июл-22
          • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 12:34 , 25-Июл-22
            • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 13:10 , 25-Июл-22
              • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 13:34 , 25-Июл-22
                • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Анонии, 17:24 , 25-Июл-22
                  • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 18:11 , 25-Июл-22
    • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 02:46 , 25-Июл-22
    • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 07:59 , 25-Июл-22
    • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Герострат, 08:50 , 25-Июл-22
• Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Анончик, 00:13 , 25-Июл-22
  • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,anonymous, 09:21 , 25-Июл-22
• Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 03:34 , 25-Июл-22
• Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 07:35 , 25-Июл-22
  • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,244, 09:32 , 25-Июл-22
    • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 14:21 , 25-Июл-22
      • Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,Аноним, 23:25 , 26-Июл-22
• Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo,_, 05:50 , 26-Июл-22

ClassLoader в жабе почти как w32.sys и спулер в масдае - вечное...

tzinfo я так понимаю тянут все кому не лень к себе?

Мне кажется или проблема с путями была практически в каждом большом и не очень проекте и на разных языках? Помню точно на перл была, на пыхе, на руби и еще на чем-то (может раст, но не уверен)

На расте такие косяки это первое дело. Куда ни плюнь, попадёшь. Ты же понимаешь, что дело не в языке, а в поклонниках этого языка. Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.

Покажите хотя бы 5 примеров

> Покажите хотя бы 5 примеров

Напишите хотя бы 5 программ на расте, пока нет ни 1. Недавно в новостях проскакивало, что в поделках как раз эти уязвимости были. "Безопасный" язык, ага.

Я Раст не знаю, на работе пишу на java, kotlin и js

Ну, по-сути, ты знаешь только жс и пару его суб/супер сетов. Я не осуждаю, за это платят деньги, только о таких вот уязвимостях в той среде думать не принято. Есть 1000 и один способ уронить жава-приложуху изменениями в системе, иногда с полным разносом всего. Сишные программы как-то более устойчивы, разве что браузеры стремятся навернуться, но тоже понятно, кто их пишет.

Отлично. Абсолютно некомпетентный и самоуверенный opennet эксперт меня не осуждает.
Я польщена, честно.

Ну, воспринимай это как хочешь. Можешь даже отрицать, что жс с жавой всю свою историю воровали друг у друга. Твоя компетенция тоже очевидна.

Очередной opennet эксперт не понимает разницу между java и JavaScript?

У очередной обезьянки бомбануло? Ну, судя по тому, как ты это написал. Где там хоть слово про жс. На жс вообще пишут те, кто не понимает, что такое чувствительность к регистру символов. Что с них можно спрашивать?

> Где там хоть слово про жс.

Биполярочка?
> Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.

Ну, во-первых, это нарицательное. А вот про жава там ни слова нет, естественно, что я сказал про жс, откуда все эти "программисты" и лезут.

Открою для opennet эксперта страшную такую. JavaScript регистрозависим

Зато жс программисты об этом не знают, в итоге хрен запустишь приложуху на линуксе без костылей.

Что можно спросить с Николауса Вира разработчика регистронечувствительного Паскаля, многих других языков программирования, автора многих книг по программированию, обладателя премии Тьюринга я понимаю.
А что можно спросить с opennet эксперта?

Опеннет-эксперты  хотя бы пишут софт и понимают какие распространённые косяки сегодня допускают, что позволяет их избежать. А что написал автор пачкаля, да такого, чтобы оно было актуально? Только угробил целые поколения программистов, а ведь из них могло вырасти что-то достойное.

И что вы написали, покажите.
Даже не сравнимое с Паскалем и Оберон. А просто хоть что то сложнее hello world

Неа, не хочу, да и не имеет значения. Что имеет значение, это забочусь ли я о будущих косяках, или поступаю как жс программисты где 99% работает, а остальное статистическая погрешность и доделает кто-нибудь другой. Когда это самая сложная и серьёзная часть, требующая значительной компетенции.

Не понимаю, зачем сравнивать что-то с мертворождёнными поделками с убогим и неудобным синтаксисом. Тот чувак всю жизнь жил тем, что засирал мозги наивным олухам. Это тоже надо навыки иметь, конечно. У меня таких определённо нет.

> Неа, не хочу, да и не имеет значения.

Ты путаешь «не хочу» и «не могу». Но для пубертата это нормально.

Смотри, такие, как ты только и могут, что прибегать к ad hominem. Это о чём-то, да говорит.

Сразу видно человека не разбирающегося в теме

Чел,Java и Javascript это два совершенно разных языка вообще-то

Вот это разрыв

Удивительно, думал Grails давно помер

Как и сам Ruby

Зачем tzinfo, если есть Rust?

// b.

Динамическая загрузка классов из произвольного места, потенциальная уязвимость по определению.
При этом оно чаще всего не нужно, все классы которых нет в JRE, Gradle и maven добавляют в jar файл

Плагины.

Разверните, пожалуйста, вашу мысль более подробно

Коллега аноним пытается сказать, что ПО может поддерживать произвольные плагины по схеме "нашёл что понравилось, скачал из интернетов и положил рядом с программой", а реулизуют такую фичу часто по пути наименьшего сопротивления - просто загружая выполняемый код из файла по указанному пути.

Йаимеюспрсить: это сишнаядырень или нет?