Comments | donz_ru: В Java тоже можно cделать выполнение произвольного кода через переданные данные, хотя казалось бы

donz_ru

В Java тоже можно cделать выполнение произвольного кода через переданные данные, хотя казалось бы

Jul 07, 2016 17:21

( Read more... )

безопасность, программирование, it, java

Comments 3

borzdeg July 7 2016, 14:56:16 UTC

а Spring Boot тут при чём? какую версию в него подложишь, та и будет. или ты про Spring Core говорил? но он использует java.io.*, а не commons-collections

donz_ru July 7 2016, 17:56:05 UTC

Spring Boot под капотом имеет урезанный Tomcat. Кроме уязвимости в самой commons-collections, нужен еще уязвимый сервлет-контейнер, который будет открыть для посылки в него зараженного кода. Упоминаемые в статье сервера приложений уязвимы в первую очередь поэтому. Библиотеку-то без проблем можно заменить на 4.1 и решить проблему в корне.

one_more_dairy July 7 2016, 15:21:35 UTC

Сомнительно.