@alizar12 апр 2010 в 12:32

В JavaWS нашли бэкдор

1 мин

1.1K

Информационная безопасность *

+45

Комментарии 31

@greengarlic 12 апр 2010 в 13:05

походу у них там работает злой программист

@sidristij 12 апр 2010 в 13:08

ну по логам svn будет ясно, кто :) Хотя… никто не мешает подсмотреть пароль и закоммитить от лица ненавистного участника команды :)

@keep 12 апр 2010 в 19:21

Ага :) У некоторых настроено, что с серверов общего пользования чекинишь от %имякомпании%. Не удивлюсь если в annotate будет «822065 oracle» :))

НЛО прилетело и опубликовало эту надпись здесь

@d0z 12 апр 2010 в 13:11

На самом деле Sun империя зла, которая хотела захватить мир, но не успела — ее купил Oracle. )
Наверняка делали workaround для какой-то фичи, потом фичу пофиксили, а workaround остался )

@mechmind 12 апр 2010 в 13:18

workaround'ом мог быть запуск приложения в среде, напичканной средствами дебага? Или это все там и так есть?

@d0z 12 апр 2010 в 13:27

Разработчикам я думаю виднее, я просто выдвинул предположения об некой очевидности сознательного бэкдора.

@Nico_izo 12 апр 2010 в 14:13

Не троньте Sun — это святое.

@stoune 12 апр 2010 в 15:10

R.I.P.

@ukko 12 апр 2010 в 13:18

Ну вот, Гослинг ушёл, теперь можно на Гослинга всё сваливать :)

@glebreutov 12 апр 2010 в 13:35

Да, это все он: напортачил и свалил! =)

@r00t 12 апр 2010 в 13:32

Уязвимость найдена Java Web Start, а JavaWS что-то тут мне кажется притянута за уши.

@ukko 12 апр 2010 в 13:37

javaws --help
Java(TM) Web Start 1.6.0_15
…

@r00t 13 апр 2010 в 05:59

Спасибо, теперь понял в чем дело!
Меня ввело в заблуждение WS и я все не мог понять причем тут Web Services :)

@Roy 12 апр 2010 в 13:48

Workaround очевиден — закрывать на firewall'е NBT\CIFS наружу. Если еще не закрыт.

@asfd 12 апр 2010 в 15:21

Снова жёлтые заголовки. -_-

НЛО прилетело и опубликовало эту надпись здесь

@FTM 12 апр 2010 в 16:21

не надо паники. java слишком популярна, а, значит, уязвимость скоро закроют.

@Roy 12 апр 2010 в 17:44

Закрыть-то закроют, вот только java обновления ищет раз в месяц…
Пара ботнетов на этом развернуться успеет.

НЛО прилетело и опубликовало эту надпись здесь

@aib 12 апр 2010 в 18:21

Насколько я помню, именно в java 1.6 появилась возможность запустить любую версию jvm с помощью комманды -version:___
Видимо это была первая версия с непосредственным указанием dll'ины.

@MaximKat 12 апр 2010 в 19:05

«Никогда не приписывайте злонамеренности тому, что вполне может быть объяснено глупостью»

@egorinsk 12 апр 2010 в 19:50

А у меня нет явы.

НЛО прилетело и опубликовало эту надпись здесь

@Zorkus 12 апр 2010 в 21:14

Особенно я.

НЛО прилетело и опубликовало эту надпись здесь

@egorinsk 12 апр 2010 в 22:07

А уязвимости бесплатно прилагаются, или их надо будет отдельно скачивать?

НЛО прилетело и опубликовало эту надпись здесь

@Zorkus 12 апр 2010 в 21:13

И что, есть реальный пример случая взлома через это?

@Kroligoff 14 апр 2010 в 03:07

Вот пример, используя данную уязвимость запускается калькулятор windows
lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html

Попробовал на 1.6.0_15-b03, работает :(

@w0den 15 апр 2010 в 19:42

Сегодня было выпущено обновление: 1.6.0_20

Зарегистрируйтесь на Хабре, чтобы оставить комментарий