Creatio как закрыть уязвимость CVE-2024-25461 PoC
Всем доброго времени суток, у Creatio есть ряд проблем с безопасностью, от части некоторые можно прикрыть, применяя лучшие практики по безопасности смягчая или полностью утренняя дальнейшее проникновение. Вот одна неприятная дыра, которую мы можем закрыть с помощью приведенных ниже настроек.
Вот эту уязвимость Creatio будем закрывать https://nvd.nist.gov/vuln/detail/CVE-2024-25461
Узнав об этой уязвимости, решил ее повторить, и это получилось выкладывать PoC (Proof of concept) в целях уменьшения воздействия публиковать ее не буду.
Давайте созреточимся на том, как ее закрыть
Общие меры — не хранить ни в каких файлах пароли в открытом виде. Не запускать Web от локального админа.
Полная блокировка через Url Rewrite
Альетрантивные варианты
- менять код приложения
- применять WAF например как ModSecurity, где в правилах включена блокировка Path Traversal Attack
Если вы хотите усилить безопасность Creatio или провести аудит системы обращайтесь с радостью помогу.
Обновления на сайте по тематике CRM Creatio и его интеграций.
Возобновим темы по настройке Creatio и его разные интеграции. Добавим тюнинг и некоторые хитрости, а также поведую об настройках CI/CD gitlab для авто деплоя Creatio.
Docker desktop clean disk space
Чтобы очистить место в Docker Desktop
Запустим очистку внутри
|
1 |
docker system prune -a |
После сожмем файл
|
1 |
Optimize-VHD -Path "C:\Users\UserName\AppData\Local\Docker\wsl\data\ext4.vhdx" -Mode Full |
В итоге у меня освободилось 46 гигов на диске. Занимаемым Docker Desktop
Zabbix преобразовать время из даты в миллисекунды
В Zabbix чтобы преобразовать время из формата «00:00:00.0103188» в миллисекунды
можно воспользоваться в Preprocessing JavaScript
return new Date(«1970-01-01T» + value) — new Date(«1970-01-01T00:00:00.0000000»);
на выходе получим 010 мс
Это нужно было для мониторинга за внутренностью контейнера где данные передавались в таком формате
