GMO社が被害を受けたStruts 2（CVE-2017-5638）問題で我々は何を学ぶべきか？ - Qiita

GMOペイメントゲートウェイ社（以下GMOPG）という、クレジット決済代行を取り扱う、 国内最大手の会社がクレジットカード番号を流出させたとして、 3/10以降大きく報道されました。 この事故から、我々エンジニアが学ぶべき事は何でしょうか？ 発生した事象について CVE-2017-5638とはなにか ファイルアップロードにおけるマルチーパートヘッダーの解釈部分に脆弱性があり、 リモートコード実行（RCE）が可能な状態であったらしい 本投稿の趣旨から外れるので、詳しくは調べていません。 経緯・経過 3/6 脆弱性情報が公開されたらしい (Cf. Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について ) 3/8 IPAが情報を掲載 (Cf. Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)

[andoshin11]

セキュリティーコードまで保存してたことは外部攻撃と関係ないし、流石に擁護できないでしょ

[taguch1]

危険だからリプレスしないといけないことがわかってても金にならないので提案は通らない。担当のエンジニアからしたら爆発寸前の時限爆弾を引き継いだ感じかな。

[ockeghem]

概ね同意だけど、『このゼロデイ攻撃』<S2-045はゼロデイではない（よね）

[yogasa]

GMOは被害を受けたのではなく，Strutsを採用して被害を与えたのでは

[mkusunok]

とはいえStrutsベースのWebアプリなんざ国にも山ほど入ってて、問題があると分かってても今の入札制度じゃ拒否できないんだよね。自分の担当するシステムがこんな目に遭ったらと考えると寒気がする

[gowithyou]

StrutsとStruts2の区別ぐらいつけろって、Struts2はWebWork2をベースにしたもので両者は全く別物の実装。ってかその程度も知らないでこの記事書いたのかね？

[houyhnhm]

少なくともこのエントリから学べる事はない。

[feb223]

"セキュリティコードまで保存してたら擁護できない" って書いてる人いるけど保存してたって確定したわけじゃないよね。任意コード実行できるんだからフォームpostされた値をかすめ取ることだってできたはず。

[lyiase]

概ね同意なんですが、件のCVE-2017-5638(S2-045)は発表が3/9、2.3.32が出たのは3/7、攻撃は3/10なのでゼロデイどころか、普通に公開された時点で封じられてたんですが…。

[zoidstown]

＞つまり、とても商用で使えないフレームワークであるとも言えます。※ScutumというWAFの会社は2014年時点でStrutsを「控えめに言ってもどうしようもない」と形容しています。

[jaguarsan]

Struts2がなまじサポート中ってのが、移行稟議が通りづらいんだよな。いっそEOL宣言してくれりゃええのに

[ya--mada]

編集履歴読んだら泣きたくなりそう

[hamadanookazu]

“祈ってやみません”？願ってやみませんやろｗｗｗ