Struts1の脆弱性(CVE2014-0094)の回避策いろいろ - てきとうなメモ
回避策をいろいろ見かけるようになったのでちょっとまとめる サーブレットのFilterでフィルタ Protect your Struts1 applications - HP Enterprise Business Community FilterでStrutsにリクエストが来る前にclassを含むクエリパラメタをエラーにしてしまう。 リンク先のコードだとマルチパートリクエストに対応できていない。マルチパートリクエストに対応することは可能だが、Strutsのコードの外なのでStrutsのコードが変更されるとうまくいかなくなるかもしれない StrutsのRequestUtilsにパッチをあてる CVE2014-0094のStruts1のパッチ - てきとうなメモ RequestUtilsでbeanutilsを利用している直前にclass等を含むクエリパラメタを無視するようにしている。 マルチパ
S2-020類似攻撃のStruts1での対策方法 - Qiita
恐ろしいことですが、実装が全然違うStruts2の脆弱性S2-020と同様の攻撃手法で、Struts1も脆弱性があることが分かりました。 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html ここではあまり明らかになっていませんが、原因は // Set the corresponding properties of our bean try { BeanUtils.populate(bean, properties); } catch(Exception e) { throw new ServletException("BeanUtils.populate", e); } finally { if (multipartHandler != null) { // Set the multipart request handl
StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ
Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113):IPA 独立行政法人 情報処理推進機構
HOME情報セキュリティ更新:Apache Struts2 の脆弱性対策について(CVE-2014-0094)(CVE-2014-0112)(CVE-2014-0113) Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。 Apache Struts 2 には、ClassLoader を操作される脆弱性(CVE-2014-0094 および CVE-2014-0112、CVE-2014-0113)が存在します。 本脆弱性が悪用された場合は、ウェブアプリケーションの動作権限内で情報の窃取や特定ファイルの操作、およびウェブアプリケーションを一時的に使用不可にされてしまいます。さらに、攻撃者が操作したファイルに Java コードが含まれている場合、任意のコードが実行され
Apache Struts 1 EOL Announcement
Edit on GitHub Apache Struts 1 End-Of-Life (EOL) Announcement The Apache Struts Project Team would like to inform you that the Struts 1.x web framework has reached its end of life and is no longer officially supported. Started in 2000, Struts 1 had its last release - version 1.3.10 - in December 2008. In the meantime the Struts community has focused on pushing the Struts 2 framework forward, with
@IT:Java TIPS -- 設定ファイルをJavadoc形式で出力する
struts-config.xmlは、Strutsアプリケーションの動作を規定する、コアともいえる設定ファイルです。Strutsアプリケーションの仕様書といってもよいでしょう。StrutsDocを利用すれば、このstruts-config.xmlに記述されている内容を、あたかもJavadocで生成したような形式で出力できます。 なお、執筆時点のバージョンのStrutsDocは、Sturts 1.1だけをサポートしており、Antのタスクとして提供されています。 ■ 操作手順 (1)StrutsDocの入手 SturtsDocは、SourceforgeのStrutsApplicationsのページからダウンロードできます。ダウンロードのリンクから、その時点での最新バージョンを入手してください。ここでは、strutsdoc-0.4.zipを使用します。 (2)StrutsDocの準備 次に、入手
第10回 Spring&Struts連携のベスト・プラクティスはこれだ!
株式会社NTTデータ関西 法人ソリューション事業部所属。Struts/Springを利用したフレームワーク開発,プロジェクト支援に携わる。最近は,.NETを利用したフレームワーク開発に携わる。 本稿では,Springから提供されているStruts連携について解説します。Strutsは,画面遷移などをサポートするSpringMVCと同じプレゼンテーション層のフレームワークです。 Springでは,Strutsと連携する方法として,4つのパターンを提供しています。利用者としては,結局どの方法を利用すればよいのか悩むところではないでしょうか? また,すでにSpringとStrutsを連携している人にとっては,本当に今の方法が最適なのかどうかを不安に思っている人もいるのではないでしょうか? 本稿では,まず,根本的な部分として,なぜSpringが提供するSpringMVCではなく,Strutsを利用
JavaでRailsのflash機能を実現する - ひがやすを技術ブログ
Railsのflash機能とは、次のページまでは保持されている変数で、次の次のページでは、消えてしまいます。主に、リダイレクトでエラー画面に遷移して、メッセージを一度だけ表示したいような場合に使います。 Strutsで、このような機能を使いたい場合は、セッションスコープのActionMessagesを使います。 生Strutsを使う場合は、Action#saveMessages(HttpSession session,ActionMessages messages) SAStrutsを使う場合は、ActionMessagesUtil#saveMessages(HttpSession session, ActionMessages messages) を呼び出せばOKです。 意外にみんな知らないんだね。Twitterで困っている人がいたから書いてみた。
StrutsやRESTなWebサービスとFlexを連携するには?
StrutsやRESTなWebサービスとFlexを連携するには?:業務用RIAの本命!? Flex+Java開発入門(3)(1/4 ページ) 本連載では、サーバサイドとして「Java」、リッチなクライアントサイドとしてJavaと相性の良い「Adobe Flex」(以降、Flex)を用いたRIA開発の基礎を解説します。EclipseベースのIDEである「Flex Builder」を使って、「Tomcat」で動くeラーニングのRIAが完成するまでお届けする予定です 編集部注:Flex Builderは、2010年3月の新版から「Flash Builder 4」に名称変更しています。期間限定の無料版をダウンロードして使えます 前回の「S2BlazeDSを用いたFlex+Javaアプリの【いろは】」では、「Hello! S2BlazeDS」アプリケーションを教材に、FlexとJavaを用いたアプリ
Strecks - about Strecks, a Struts extension framework for Java 5 users
Welcome to Strecks Strecks is a set of extensions to the Struts web development framework aimed at Java 5 users. The aim of Strecks is to enhance the capability of Struts in terms of productivity and maintainability. Strecks makes use of Java 5 language features, in particular JSR-175 annotations, to simplify the programming model for Struts applications. News
Strutsをなめんな - ひがやすを blog
リリースノートはこちら Bug [SASTRUTS-18] - ArrayWrapperでListを実装するようにしました [SASTRUTS-20] - ActionからActionへ遷移できない問題を修正しました Improvement [SASTRUTS-19] - ActionのプロパティがMapの場合も扱えるようにしました ダウンロードはこちら http://sastruts.seasar.org/download.html このバージョンから、チュートリアルに、ResourceSynchronizerプラグインを使ったリッチなエラーページをつけました。ResourceSynchronizerを超ざっくり説明すると、ブラウザからEclipseを操作するプラグインです。 チュートリアルのリッチなエラーページをクリックすると、Ext.jsで作ったリッチなエラーページが表示されます。ス
strutsタグとJSTLの対応表 | dTblog
今まで JSP で struts の bean タグや logic タグで記述していたところを、JSTLを使って書かなくちゃいけなくなった。めんどっちぃ。ということで、対応表。 struts taglibJSTL
uebu: 少し複雑な定義済みバリデータを使う
●日付書式の妥当性検証 日付書式の妥当性検証に使うdateバリデータはさほど難しいというものではないのですが、 書き方のテンプレートということでここに一緒にメモっておきます。 <form name="MyForm"> <field property="startDate" depends="required,date"> <arg0 key="startDate.displayName"/> <var><var-name>datePattern</var-name><var-value>yyyyMMdd</var-value></var> </field> </form> ●maskバリデータ よく使われるバリデータとしては必須入力チェックをするrequired、 データ型チェックをするintegerなどがありますが、 もう少し複雑なバリデータとしてmaskが便利に使えます。 これは入
Struts 1/Struts 2 Webアプリケーションフレームワークの比較:CodeZine
はじめに Struts Webアプリケーションフレームワークが最初にリリースされてから10年近くが経ち、Strutsを利用して開発されたアプリケーションの数は数千に達します。Strutsは、当時から現在に至るまで、JavaベースのWebアプリケーションを作成するうえで最も人気の高いフレームワークです。Strutsにも欠点がないわけではありませんが、信頼性に優れ保守しやすいWebベースソフトウェアの構築を簡単に行うことができます。現在、Strutsを使用するアプリケーションの数は、競合する他のすべてのWebフレームワークを使用するアプリケーションを合わせた数の2倍はあるでしょう。JSF(JavaServer Faces)など、Strutsの後に登場した多くのフレームワークがStrutsの概念の多くをそのまま利用していることは、Strutsに対する賛辞に他なりません。 とはいえ、Strutsは
【Jakarta/Apacheウォッチ】第25回 リリース間近!アーキテクチャを一新したStruts 1.3:ITpro
[Jakarta/Apacheウォッチ]第25回 リリース間近!アーキテクチャを一新したStruts 1.3 Strutsの新バージョンである Struts1.3 がリリース間近となってきた。Struts1.3.0は開発者向けとして既にリリースされている。現在J2EE Webアプリケーションを構築する際の事実上のデファクト Webアプリケーションフレームワークとなっている Struts の新バージョンだけに,その動向が注目されている。 今回は,この新しいStrutsの新機能を中心に紹介をする。 開発が進む「2つのStruts」 Strutsの今後については様々な情報が飛び交っているが,ここでStrutsの現在とロードマップについて整理しておこう。 執筆時現在,正式にリリースされているのはバージョン1.2系のStruts。多くの読者が利用しているだろう。 Strutsを開発しているApach
Migrating to Struts 2 - Part II
Zero-Knowledge Proofs for the Layman This article will introduce you to zero-knowledge proofs, a kind of cryptography you can use to provide the proof you know a secret, such as a private key or the solution to a problem, without ever sharing it to an interested party. While many articles exist on the topic, this will not require any high math knowledge.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
InfoQ: Flex フレンドリな Struts アプリケーションを開発できる FXStruts
http://www3.vis.ne.jp/~asaki/p_diary/diary.cgi?Date=2008-05-02
IBM Developer
