Уязвимости в JBoss

Пофиксил.

Так себе уязвимость. Это надо 1701 порт наружу выпятить. Это нелегко. :)
Но, все равно, Санычу спасибо за инфу!

Хм...

Scope
This vulnerability affects every installation of JBoss 3.2.1 application server not protected by additional hardening mechanisms for network access protection and boundary control such as firewall systems.

Не все так уж и серьезно, хотя и неприятно, конечно такие штуки видеть. Впрочем незачем порты наружу выпячивать..

> | .....and manipulating
> | java process properties to execution of any commands on the
> | (windows) system with the privileges of the JBoss process. We do
> | not rule out the possibility of remotely controlled code
> | execution on JBoss servers running on top of other operating
> | systems (such as Linux, Solaris, Mac, OS/390).

так что для линукса эта уязвимость еще не доказанна

В дефолтных настройках на порту 1701 отзывается Hypersonic. Вот до него и можно достучаться. Ну и дальше полный вперед. SQL в руки, курочить базу данных. Вот только многие этот Hypersonic не юзают, и он валяется как бесплатное приложение к JBOSS. Кстати, отзывается и на линуксе. Вот только дальше на нормально отстроенном *nix`е хрен пролезешь, если даже Hypersonic завалишь. JBOSS в песочнице, и у юзера шела нет.

Заголовок должен звучать так: "Уязвимости в Hypersonic, который идёт в комплекте с JBoss".

PS: Неужели есть горе-админы, которые не отключают неиспользуемые сервисы? Или все поголовно используют hsqldb вместо pgsql?

Масяныч, солидные компании, в отличие от твоей "Пупкин-телеком", не используют JBOSS, используют IBM WebSphere на zLinux. Так что ты снова нас поразвлекал.:)))

Про JBoss на playboy.com я ещё поверю. Но про Dow Jones пускай jbossовская PR-служба не "ля-ля".

А где Sun-ch сказал что он пользуется JBOSS???И хватит понтиться используешь WebSphere на zLinux и используй себе дальше.Может кто то JBOSS пользуется.Он же не для тебя одного новости сюда постит.

Sun-ch респект.Один из немногих толковых людей на Lor!

А где Sun-ch сказал что он пользуется JBOSS???И хватит понтиться используешь WebSphere на zLinux и используй себе дальше.Может кто то JBOSS пользуется.Он же не для тебя одного новости сюда постит.

Sun-ch респект.Один из немногих толковых людей на Lor!

Ну я JBoss пользую. Ну и что? Саныч - это простейший робот-clipboard которому просто больше нечем заняться.

стоимость WebSphere ~ 20 тыс. долларов. стоимость JBoss = 0 долларов.

После того, как JBoss пройдет J2EE сертификацию от Sun, что будете использовать Вы?

Ну и ничего. Пользуешся пользуйся.А че на Саныча наезжаеш?Не нравиться не читай.

Разные весовые категории нельзя сравнивать.

http://www.oreilly.com/catalog/entjbeans3/workbooks/index.html

(К сожалению, WAS 5 с EJB CMP 2.0 там пока нет)

и в чем это, позвольте поинтересоваться, у них разные весовые категории? В том, что один полностью написан на Java и является Open Source а другой делается большой и толстой конторой?

мы же не сравниваем JBoss и WSAD, но просто JBoss и WS. про тех. поддержку не знаю - не приходилось ни с одними, ни с другими общаться.

что до CMP 2.0, то его производительность настолько низкая, что я сомневаюсь, что эту фичу кто-то будет использовать в Production. хотя как знать, если много вычислительных ресурсов - то пожалста.

Интересно, а юный гений turanchox знает, что такое MQSeries 5.3, зачем оно нужно и как оно интегрируется с IBM WAS?

>Интересно, а юный гений turanchox знает, что такое MQSeries 5.3, зачем оно нужно и как оно интегрируется с IBM WAS?

Наш выбор SpiritWave & openadapter :)

To: anonymous (*) (08.10.2003 14:13:26)

> Интересно, а юный гений turanchox знает, что такое MQSeries 5.3, зачем оно нужно и как оно интегрируется с IBM WAS?

многоуважаемый седовласый вы наш гений anonymous, к вашему сведению MQSeries таковой уже не является. серия называются WebSphere MQ 5.3, но это к слову.

согласен, данный продукт является полезным. впрочем, это не относится к WebSphere как к J2EE серверу приложений, обсуждаемых в данном контексте. но его интегрированность с остальными продуктами IBM. "Интеграция означает бизнес для нас", сказал когда-то глава IONA, надеюсь, небезызвестной вам конторы.

Достоинство J2EE - портабельность приложений. Да, деплоймент их на разных серверах - большой "пэйн ин де батт", но смысл в том, что сделать это можно. Завязываясь же на конкретное решение, будь то MQ, MS, и иже с ними, получаешь наличие отсутствия свободы выбора.

Всех благ,

Всё-таки молодцы юные дарования - поисковиками научились пользоваться. Отрадно такое видеть!

Только гугль мозгов и опыта не заменит. Я вот несколько разочарую молодых теоретиков - у нас до сих пор IBM MQ 5.2, поскольку надо работать, а не демонстрировать свои энциклопедические познания.

> Завязываясь же на конкретное решение, будь то MQ, MS, и иже с ними, получаешь наличие отсутствия свободы выбора.

НЕ завязываясь же на конкретное решение, будь то MQ, MS, и иже с ними, получаешь наличие отсутствия свободы выбора нормального работодателя.

Всех благ,

> НЕ завязываясь же на конкретное решение, будь то MQ, MS, и иже с ними, получаешь наличие отсутствия свободы выбора нормального работодателя.

Программировать под Windows и MSSQL, IBM MQ и иже с ними и получать хорошие деньги, либо быть идеалистом, жить на нищенскую зарплату и заниматься тем, что считаешь нужным и правильным - это личный выбор каждого. В конце концов, своя рубашка ближе к телу и когда пупок к позвоночнику липнет, часто бывает не до идеалов.

К сожалению (или счастью), это не относится к сути вопроса о стандарте J2EE. И что это действительно дело CTO компаний решать, по какому пути им идти. А дело программистов этих компаний - делать что сказало начальство.

С наилучшими пожеланиями,