alizar Apr 12 2010 at 16:32

В JavaWS нашли бэкдор

1 min

Information Security*

+45

Comments 31

greengarlic Apr 12 2010 at 17:05

походу у них там работает злой программист

sidristij Apr 12 2010 at 17:08

ну по логам svn будет ясно, кто :) Хотя… никто не мешает подсмотреть пароль и закоммитить от лица ненавистного участника команды :)

keep Apr 12 2010 at 23:21

Ага :) У некоторых настроено, что с серверов общего пользования чекинишь от %имякомпании%. Не удивлюсь если в annotate будет «822065 oracle» :))

UFO landed and left these words here

d0z Apr 12 2010 at 17:11

На самом деле Sun империя зла, которая хотела захватить мир, но не успела — ее купил Oracle. )
Наверняка делали workaround для какой-то фичи, потом фичу пофиксили, а workaround остался )

mechmind Apr 12 2010 at 17:18

workaround'ом мог быть запуск приложения в среде, напичканной средствами дебага? Или это все там и так есть?

d0z Apr 12 2010 at 17:27

Разработчикам я думаю виднее, я просто выдвинул предположения об некой очевидности сознательного бэкдора.

Nico_izo Apr 12 2010 at 18:13

Не троньте Sun — это святое.

stoune Apr 12 2010 at 19:10

R.I.P.

ukko Apr 12 2010 at 17:18

Ну вот, Гослинг ушёл, теперь можно на Гослинга всё сваливать :)

glebreutov Apr 12 2010 at 17:35

Да, это все он: напортачил и свалил! =)

r00t Apr 12 2010 at 17:32

Уязвимость найдена Java Web Start, а JavaWS что-то тут мне кажется притянута за уши.

ukko Apr 12 2010 at 17:37

javaws --help
Java(TM) Web Start 1.6.0_15
…

r00t Apr 13 2010 at 09:59

Спасибо, теперь понял в чем дело!
Меня ввело в заблуждение WS и я все не мог понять причем тут Web Services :)

Roy Apr 12 2010 at 17:48

Workaround очевиден — закрывать на firewall'е NBT\CIFS наружу. Если еще не закрыт.

asfd Apr 12 2010 at 19:21

Снова жёлтые заголовки. -_-

UFO landed and left these words here

FTM Apr 12 2010 at 20:21

не надо паники. java слишком популярна, а, значит, уязвимость скоро закроют.

Roy Apr 12 2010 at 21:44

Закрыть-то закроют, вот только java обновления ищет раз в месяц…
Пара ботнетов на этом развернуться успеет.

UFO landed and left these words here

aib Apr 12 2010 at 22:21

Насколько я помню, именно в java 1.6 появилась возможность запустить любую версию jvm с помощью комманды -version:___
Видимо это была первая версия с непосредственным указанием dll'ины.

MaximKat Apr 12 2010 at 23:05

«Никогда не приписывайте злонамеренности тому, что вполне может быть объяснено глупостью»

egorinsk Apr 12 2010 at 23:50

А у меня нет явы.

UFO landed and left these words here

Zorkus Apr 13 2010 at 01:14

Особенно я.

UFO landed and left these words here

egorinsk Apr 13 2010 at 02:07

А уязвимости бесплатно прилагаются, или их надо будет отдельно скачивать?

UFO landed and left these words here

Zorkus Apr 13 2010 at 01:13

И что, есть реальный пример случая взлома через это?

Kroligoff Apr 14 2010 at 07:07

Вот пример, используя данную уязвимость запускается калькулятор windows
lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html

Попробовал на 1.6.0_15-b03, работает :(

w0den Apr 15 2010 at 23:42

Сегодня было выпущено обновление: 1.6.0_20