Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
Struts2|血洗 - サイバー中国
今宵、中国セキュリティ業界は蜂の巣を突かれたのような大騒ぎです。 Apache Struts2 の脆弱性(S2-032/CVE-2016-3081)が。 S2-032 - Apache Struts 2 Documentation - Apache Software Foundation 遠隔からコードを実行される可能性があり、バージョン2.3.18-2.3.28が影響を受けます。最新バージョンへの更新、DMIの停止が推奨されます。 ※中国国内ではバージョン2.3.16で運用されているものが少なくない模様 さて中国メディアでは「今宵、中国インターネット界は Struts2 により、血で洗われた」と大変恐ろしい表題を付け、2012年の大規模な Struts2脆弱性以来の影響になるであろうと表現しております。 news.mydrivers.com 事実を裏付けるように、 WOOYUN 上でもど
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
