FYI: PrimeFaces 5 Remote Code Execution

publikováno: 22.1.2018

Pokud ještě používáte PrimeFaces 5, tak by vás mohlo zajímat, že takové servery (a jejich klienti) v posledních pár dnech začaly těžit Monero pomocí xmr-stak (na serveru) a coinhive (na klientovi). Útočníci k tomu používají tento exploit: https://www.exploit-db.com/exploits/43733/

Další informace: https://forum.primefaces.org/viewtopic.php?f=3&t=53750

EDIT: Asi se to stalo hromadě lidí (ostatně mě taky 😓 ), takže vyšel i článek na blogu PrimeFaces: https://www.primefaces.org/primefaces-el-injection-update/

Předchozí:
Žádná předchozí novinka
Reference

Školení mi pomohlo ujasnit si jak má správně probíhat testování kódu, představilo užitečné knihovny a nástroje. Vše bylo podáno zábavnou formou, takže nebyl problém udržet pozornost. Navíc byl výhodou dostatek

Certicon
David

Jedno z nejlepších školení za poslední roky. Kromě seznámení se Springem apod. mě velmi příjemně překvapila hluboká znalost probírané látky a schopnost ji srozumitelně vysvětlit v případě ad hoc dotazů.

Jaroslav

Přestože jsem Cčkař, tak jsem se na školení JUnit dozvěděl nové věci. Zejména co se týče metodiky jednotkového testování a některých odborných termínů.

Retia
Jaromír


Novinky

12.7.2020: The illusion of statelessness
Pěkný článek na téma, že nemusí být jednoduché dosáhnout toho, aby byla aplikace skutečně "stateless"

12.7.2020: ZGC -XX:SoftMaxHeapSize
Od Java 13 Garbage Collector ZGC umožňuje nastavit "soft limit" na velikost Java heap pomocí "-XX:SoftMaxHeapSize". Jakmile jsem zjistil, že něco takového existuje, tak jsem zajásal.

12.7.2020: Jakou "Javu" používat? (Open JDK, OracleJDK, AdoptOpenJDK, ...)
Na školení se mě stále lidi ptají jestli je Java stále zdarma ...